更改的Fedora默认SSH端口

更改默认SSH端口是最肯定的模糊安全,最绝对不应该是唯一的安全措施落实到位,以防止通过SSH未经授权的远程系统访问。然而,它仍然对该死的蛮力攻击和探测有效。我会告诉你如何通过改变Fedora Linux系统默认的SSH端口分配释放一些系统资源。

更改默认的SSH端口的做法等同于墙体你的正门只有构建在即另一个相同的入口。大多数客流量将步行到老入口被繁忙的街道走开时,他们不找上了门。它并不需要太多的期待,发现存在的另一个入口只是没有在那里应有尽有之一,当然,需要更多的时间和精力。在繁忙的街道充满了更方便的入口到其他建筑物反正那么,为什么甚至懒得作出努力。它不会提高安全性,但它确实降低的人谁在门口常叩,而喊出来的废话短语试图获准进入的数量。

只需从默认的端口改变了,我减少100%愚蠢的脚本攻击。我几乎能听到ssh守护进程松了一口气当它终于得到了一些平静和安宁。该花的时间来发现新的端口稍微复杂的脚本也足够聪明,只尝试登录一次,发现我的服务器不允许基于口令的登录,然后他们离开为好。这有效地消除了在获得访问自动反复尝试。欲了解更多确定的攻击者,你需要在随后封锁更加积极主动。例如。您可以设置SSHGuard添加块规则FirewallD当检测到攻击者。

要改变Fedora中默认的端口,并在任何其他的Linux发行版对于这个问题,需要更改默认端口22在选项的/ etc / SSH / sshd_config中的端口号要使用。我们将使用端口722在所有的例子向前发展。无论是编辑配置文件手动,或盲目地相信这个搜索和替换脚本来为你做它:

SED -i -e 'S / ^#?端口22 /端口722 / G'/等/ SSH / sshd_config中

你也应该改变systemd插座端口分配(只有一些平台)。运行以下命令,以yabo亚博体育下载确定是否你已经这样做对你的Linux发行版:

systemctl编辑sshd.socket

如果该文件存在,编辑器将会打开。主要包括以下更改端口分配yabo亚博体育下载。保存文件,使更改生效。在不脱离默认systemd插座单元文件中的值取消设置任何先前设定的值(旧端口号)的行。如果你得到一个消息,说该文件不存在,则可以跳过此步骤。

[插座] ListenStream = ListenStream = 722

Fedora的Linux已经安全增强的Linux(SELinux)的和防火墙(FirewallD)默认情况下启用。接下来的几个步骤仅适用于在Fedora这些系统。

SELinux的默认会想到传入SSH连接去通过端口22,以及我们需要采取这项政策通过的车流让新的端口上,而不是。该semanage的程序可以用来修改政策和事后验证结果。第一个命令下面将新的端口号添加到“ssh_port_t”的政策,第二个命令将打印相同的政策之后,所以我们可以确认加入新的端口号。

semanage的港口-a -t ssh_port_t -p TCP 722端口semanage的-l |grep的ssh_port_t

然后,假设当地FirewallD是已经设置为允许SSH服务。需求SSH服务定义进行更新,以允许通过新端口的流量:

防火墙-CMD --permanent --service = “SSH” --add端口 “722 / TCP”

配置更改现在在的地方,你可以重新加载服务,使他们生效:

防火墙CMD --reloadsystemctl重装的sshd

你应该断开并重新连接到服务器的新端口上(SSH -p 722 user@example.com)。您可能正在运行前面的命令后断开。验证新的端口可以访问后,我们从防火墙配置中删除默认的SSH端口22来拒绝将来老端口连接:

防火墙-CMD --permanent --service = “SSH” --remove端口 “22 / TCP的” 防火墙-CMD --reload

在这篇文章中使用的命令都从对分散在各地的例子派生Fedora文档网站

如果您使用的fail2ban,一定要更新配置的端口号也有。

以达到类似的效果另一种常见的方法是配置NAT您的路由器或网关设备上的规则,在您的服务器的内部IP上的外部IP地址重定向端口722到端口22。然而,有一些隐藏的缺陷:首先,它没有为IPv6和NAT和路由前是不是一个东西。它也无助于攻击源自在情况下杰夫从会计套了自己的Wi-Fi接入点,没有密码,以提高围绕他的办公桌信号强度你的内部网络。到那时,你其他的问题太多,但它仍然是更好地服务设备上配置此所以它的配置将匹配公开曝光的配置。