나는 내 서버에 SSH로 접속할 수 있는 것을 좋아합니다(충격적이네요, 나도 알아요). 문제는 제가 여행을 할 때 발생합니다. 호텔과 기타 기관에서 다양한 구성을 가진 다양한 방화벽에 직면하며 때로는 상당히 골치아픈 경우도 있습니다.
이 혼란을 겪을 확률이 높은 포트에서 sshd 수신 대기를 설정하고 싶습니다. 어떤 제안이 있으십니까?
sshd는 현재 스크립트 키디가 문을 두드리는 것을 피하기 위해 비표준(그러나 < 1024) 포트에서 수신 대기합니다. 이 포트는 IMAP 서버가 있는 다른 비표준 포트와 마찬가지로 자주 차단됩니다.
포트 25와 80에서 서비스가 실행되고 있지만 다른 모든 것은 공정한 게임입니다. 나는 아마도 443을 생각하고 있었다.
매우 감사!
리드
답변1
왜 443이 작동하지 않아야 하는지 모르겠습니다.
그러나 나는 항상 22가 아닌 다른 포트에서 sshd를 실행하는 것에 대해 의문을 제기합니다. 직접 시도하지는 않았지만 모호함을 통한 보안입니다. 이는 대부분 잘못된 보안 감각을 제공합니다. 많은 봇은 공격하기 전이나 22가 닫힌 경우 호스트를 포트 스캔하는 데 시간이 걸립니다. 22가 대부분의 방화벽에서 작동하는 경우 22를 사용하여 인증을 위한 키 쌍을 설정하고 비밀번호 인증을 완전히 비활성화합니다(22로 돌아가는지 여부에 관계없이).
443은 자주 열려야 하기 때문에 좋은 선택인 것 같습니다.
답변2
443은 좋은 생각이 아닙니다. 특히 포트 443은 SSL 트래픽에 사용하지 않을 경우 위험한 솔루션입니다. 우선, Gmail이나 대형 서비스 제공업체는 귀하를 공개 프록시 서버로 표시합니다(SSL 암호화 없이 443에서 모든 것이 작동한다고 표시합니다). 또한 일부 전문 방화벽은 SSL 없이 443의 모든 트래픽을 차단합니다. ultrasurf나 thor 등과 같은 프록시 프로그램 때문에 23으로 되돌리거나 22로 그대로 둘 수 있습니다. sshd의 무차별 공격이 마음에 들지 않으면. Fail2ban을 사용하라고 조언해 드릴 수 있어요http://www.fail2ban.org/wiki/index.php/Main_Page SSHD, FTP 서버 등을 보호하는 완벽한 솔루션입니다.
답변3
443이 좋은 포트라고 말하고 싶지만 일부 방화벽에서는 포트 443 트래픽이 실제로 https인지 확인하기 위해 콘텐츠 검사를 수행할 수 있다는 점에 유의하세요. 암호화된 트래픽을 좋아하지 않는 이상한 위치도 있으므로 포트 443을 거부하세요.
설정에 따라 포트 53은 괜찮을 수 있습니다. 즉, 나가는 트래픽을 자체 DNS 서버로만 제한하지 않은 경우입니다.
예비 IP 주소를 사용할 수 있는지 여부도 고려할 수 있습니다. 웹 서버가 반드시 서버가 소유한 모든 IP 주소를 수신하도록 할 필요는 없습니다. 이 경우 IP가 차단될 가능성이 가장 적은 포트 80을 사용하면 됩니다.
그렇다면 다시 말하지만, 여러분이 하고 있는 작업이 SSH 서버를 모호하게 만들려고 할 때 잘 알려진 포트에 SSH 서버를 두는 것은 현명하지 못할 것입니다. 그리고 포트 80과 443에 인라인 프록시 서버가 있어서 이 작업을 중단할 수도 있습니다.
답변4
저는 시스템을 네트워크가 많이 제한되어 있는 여러 사용자를 위해 VPN을 지원합니다. 내 경험상 100% 작동하는 청취 가능한 단일 포트는 없습니다. 가용성이 높은 연결을 원한다면 많은 포트에서 연결을 허용하도록 시스템을 설정해야 할 수도 있습니다.
일부 포트에서 수신 대기하도록 SSH를 설정한 다음 NAT를 사용하여 다른 포트에서 사용할 수 있도록 설정하면 됩니다.
말씀하신 대로 포트 80이 사용 중입니다. 포트 80에서 Apache를 실행 중인 경우 이를 프록시로 설정할 수도 있습니다. 하지만 시간을 내어 액세스를 올바르게 설정하는 방법을 이해하여 개방형 프록시가 되지 않도록 하십시오.
불행히도 제한된 네트워크에서 시스템에 액세스할 수 있기를 정말로 원한다면 많은 검색을 수행하게 될 것입니다. 방화벽을 통해 일반적으로 허용되는 동일한 프로토콜이 일반적으로 사용되고 검색되는 프로토콜입니다. 시스템이 사람들을 차단하도록 거부 호스트 또는 실패2반과 같은 것을 설정하십시오.