我喜歡能夠透過 ssh 連接到我的伺服器(我知道這很令人震驚)。當我在旅行時,問題就出現了,我在酒店和其他機構中面臨著各種各樣的防火牆,它們有各種各樣的配置,有時甚至相當愚蠢。
我想設定一個 sshd 監聽一個端口,該端口很可能能夠解決這個問題。有什麼建議麼?
sshd 目前偵聽非標準(但 < 1024)端口,以避免腳本小子敲門。此連接埠經常被阻止,我的 IMAP 伺服器所在的另一個非標準連接埠也是如此。
我的服務在連接埠 25 和 80 上運行,但其他任何服務都可以。我在想也許是443。
非常感激!
里德
答案1
我不明白為什麼 443 不起作用。
然而,我總是質疑在 22 以外的連接埠上執行 sshd。它提供了一種大多是錯誤的安全感。許多殭屍程式在攻擊前或 22 連接埠關閉時會花時間對主機進行連接埠掃描。如果 22 適用於大多數防火牆,我只需返回使用 22 並設定用於身份驗證的金鑰對,並完全停用密碼驗證(無論您是否移回 22)
443 聽起來是一個不錯的選擇,因為它應該經常打開。
答案2
443不是一個好主意。特別是連接埠 443 是危險的解決方案,如果您不將其用於 SSL 流量。首先,gmail 或任何大型服務提供者會將您標記為公共代理伺服器(他們將所有內容標記為在沒有SSL 的情況下在443 上運行。)此外,一些專業防火牆也會阻止在沒有SSL 的443 上的任何流量。因為有像 ultrasurf 或 thor 等代理程式。我可以建議你使用fail2banhttp://www.fail2ban.org/wiki/index.php/Main_Page 它是保護 sshd 以及 ftp 伺服器等的完美解決方案。
答案3
我認為 443 是一個很好的端口,但請注意,某些防火牆可能會進行內容檢查以確保端口 443 流量實際上是 https。還有一些奇怪的位置,他們不喜歡加密流量,因此拒絕連接埠 443。
根據設置,連接埠 53 可能沒問題 - 如果他們沒有將傳出流量限制為僅發送到他們自己的 dns 伺服器。
它也可能在考慮是否可以使用備用 IP 位址。您不必讓您的 Web 伺服器監聽您的伺服器擁有的每個 IP 位址,在這種情況下,您可以只使用連接埠 80,這是最不可能被封鎖的 IP。
話又說回來,當您所做的事情試圖使其變得模糊時,將 ssh 伺服器放在眾所周知的連接埠上可能並不明智。並且在連接埠 80 和 443 上可能存在內聯代理伺服器,它們會阻止您執行此操作。
答案4
我為多個用戶提供 VPN 支持,這些用戶將他們的系統帶到許多受限制的網路。根據我的經驗,沒有哪個連接埠可以 100% 正常工作。如果您想要高度可用的連接,您可能需要將系統設定為接受許多連接埠上的連接。
只需將 SSH 設定為偵聽某個端口,然後使用 NAT 使其在其他連接埠上可用即可。
由於您提到連接埠 80 正在使用中。如果您的 apache 在連接埠 80 上運行,您甚至可以將其設定為代理。但請確保您花時間了解如何正確設定存取權限,以免成為開放代理。
不幸的是,如果您確實希望您的系統能夠從限制性網路訪問,您可能需要進行大量掃描。通常允許通過防火牆的協定與常用和掃描的協定相同。設定諸如denyhosts或fail2ban之類的東西,這樣你的系統就會將人們拒之門外。