Blog Post

Modifica portul 22 pentru sshd

Jan. 20, 2019, 10:37 a.m. TestCat linux centos selinux


Mai devreme sau mai tarziu, modificarea portului standard de ssh este necesara, daca nu si recomandata.

Ar trebui sa avem in vedere pasii urmatori.

Adaugam intai un al doilea port (de exemplu 6666), lasand in acelasi timp si vechiul port 22 activ, pana ne asiguram ca avem o configuratie functionala.

Deschidem vi /etc/ssh/sshd_config si cautam # Port 22, vom adauga un nou port, sa spunem 6666 si lasam ambele porturi activate momentan:

Port 22
Port 6666

Sa verificam intai configuratia firewalld, lista de porturi deschise (pt. alte comenzi firewall-cmd --help):

firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s25
  sources:
  services: dhcpv6-client http ssh https
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Adaugam noul port 6666 in configuratia firewalld:

# deschidem portul in firewall,
# atentie nu supravietuieste unui server restart
firewall-cmd --add-port 6666/tcp 

Daca avem SELinux activat, trebuie sa precizam ca dorim access la 6666:

 # deschide portul si in SELinux
semanage port -a -t ssh_port_t -p tcp 6666

Acum putem face restart pt serviciul sshd:

systemctl restart sshd

Incercam o conexiune ssh pe noul port:

# ---> now try to ssh from local
ssh [email protected] -p 6666

Daca am reusit sa ne conectam, facem ca setarile firewalld sa fie persistente:

# adaugam port-ul 6666 ca fiind permanent
firewall-cmd --add-port 6666/tcp --permanent
# reincarcam noua configuratie firewalld
firewall-cmd --reload

Acum putem renunta la portul "default" ssh 22:

# indepartam portul 22 din configuratia firewalld
firewall-cmd --remove-service ssh --permanent

# reincarcam configuratia
firewall-cmd --reload

# restartam sshd
systemctl restart sshd

Acum pentru verificare, listam toate porturile deschise in firewalld. Observam prezenta noului port 6666, si vechiul port 22 ssh lipseste, pentru ca l-am dezactivat:

firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s25
  sources:
  services: dhcpv6-client http https
  ports: 6666/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Intrucat, am avut surpriza ca portul sa fie descoperit dupa ceva timp, si sa incep sa vad iarasi incercari "brute-force", de a ghici parola de acces ssh am cautat sa studiez problema. Bineinteles am incercat fail2ban, dar am inceput sa studiez si ansible si lucrez la un playbook care sa modifice portul folosit de ssh la un anumit interval de timp.

Asta intr-un post din viitor...

to be continued