Fragen zum SSH Port ändern?

N

netzreiter

Member
Hallo,
ich möchte meinen SSH Port Ändern, bin mir aber nicht sicher wie ich dann über WinSCP oder Putty zugreifen kann der Standartwert ist ja 22 . wen ich den Post z.b. auf 25 ändere und die 25 dann in z.b. Putty einstelle geht der Zugriff nicht mehr.

Kann eventuell daran liegen das 25 kein Offener Post ist wo finde ich eine Liste welche Port ich verwenden kann?
 
Danke die suche benutzen ist nicht so schwer eher das Ergebnis, ich habe das
Geben Sie in die Eingabeaufforderung den Befehl netstat -ano ein, um offene und lauschende Ports anzuzeigen. Geben Sie in die Eingabeaufforderung den Befehl netstat -ano ein, um offene und lauschende Ports anzuzeigen. versucht.

Ich kann da keine SSH Ports sehen?
 

Attachments

  • SSHPort1.jpg
    SSHPort1.jpg
    55.3 KB · Views: 9
  • SSHPort2.jpg
    SSHPort2.jpg
    42.4 KB · Views: 9
Nein nicht irgendwelche Port sondern SSH Ports die ich nutzen kann um meinen 22 zu ändern,dabei geht es mir dann aber auch darum das ich weiter mich mit WinSCP oder Putty verbinden kann wenn der Port nicht mehr 22 ist.

Dein ergebniss zeigt auch kein Port an.

tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN
tcp6 0 0 [::]:ssh [::]:*
 
netzreiter said:
SSH Ports die ich nutzen kann um meinen 22 zu ändern
Click to expand...
Es gibt keine dedizierten "SSH Ports". Du kannst jeden Port verwenden, der nicht anderweitig belegt ist.
Mit netstat kannst du ja ermitteln, welche Ports in Verwendung sind. Nimm dann einfach einen nicht verwendeten Port.

Rein aus Neugier:
Warum willst du den SSH Port verändern? Was versprichst du dir davon für Benefits?
 
Eine Ändrung des Ports verhindert nur voll-automatsierte Angriffe von dummen Skripts.
Wer SSH-Ports finden will, findet die auch so.

Anderer Port bringt nicht mehr Sicherheit.
 
Du solltest eher Einbruchsversuche für SSH mit Fail2ban nach 3 Versuchen blocken.

Auch Zugang nur per SSH-Key schafft etwas mehr, um Böswillige abzuwehren.
 
netzreiter said:
Mehr Sicherheit?
Click to expand...
Die Hoffnung kann ich dir direkt nehmen.
Wer deinen Port rausfinden will, macht auf die IP einfach einen Portscan...Binnen Sekunden weiß man den.

Einzig dein auth Log wird nach einem Portwechsel nicht mehr ganz so dolle zugemüllt mit vergeblichen Verbindungsversuchen, weil die meisten Scriptkiddies tatsächlich nur bestimmte Port testen.

Wenn du paranoid genug bist, kannst du deinen SSH Port mittels Port Knocking etwas abschirmen.
 
GwenDragon said:
Ich finde offene SSH-Ports mit NMap ruckzuck.
Click to expand...
Tja, du vielleicht.
Ich habe seit mehr als 10 Jahren bei all meinen Servern immer den ssh-Port verlegt;
in all dieser Zeit habe ich genau 2 - in Worten ZWEI - login-Versuche registriert.
(Auf Port 22 sind eher zwei pro Sekunde).
Es gibt keine Sicherheitsmaßname, die billiger und effizienter ist.
 
tomcat8 said:
Es gibt keine Sicherheitsmaßname, die billiger und effizienter ist.
Click to expand...
Hört doch bitte auf, bei der Verlegung des SSH Ports von einer 'Sicherheitsmaßnahme' zu sprechen!
Durch die Portverlegung hast du exakt NULL Sicherheitsgewinn, lediglich etwas sauberere Logs...
 
Ich würde sagen, den SSH-Port umzusetzen ist eine "Low hanging fruit". Es gibt viele, unglaublich dämliche Angriffsversuche auf alle erreichbaren Server. Selbst wenn man da mit einfachsten Massnahmen arbeitet, dann laufen viele Angriffe ins Leere und man ist ein Stück weit besser gesichert als all jene, die das nicht machen. Anders gesagt: Die Server mit den größten offenen Scheunentoren werden zu erst übernommen.

Mit einem einfachen iptables --hashlimit ... verlängert man die Portscan Zeit schon von 10 Sekunden auf einen Tag. Genug um die primitiven Portscans zu blockieren. Angreifer mit großen Mengen an IP-Adressen oder sehr viel Zeit kommen natürlich trotzdem durch.

Im Übrigen laufen im Internet auch viele "Scannerserver" kontinuierlich. Die Scannen das ganze Internet ab nach aktiven IP-Adressen und Ports und speichern sich dann die Ergebnisse ab. Solche Services kann man sich auch einkaufen. D. h. egal welche Ports man für was konfiguriert, das ist nicht zu verheimlichen.
 
Über 99% der Angriffe auf Port 22 sind ungezielte Versuche, einfach mal versuchen, mit ein paar Standard-Usern und Passwörtern sich anzumelden - und wenn es mal klappt, gibt es wieder einen Server, den man missbrauchen kann, z.B. zum Spam-Versand. Dagegen helfen schon sichere Passwörter oder noch besser, dass man die Anmeldung an SSH nur mit Key erlaubt.
Wenn der Angriff gezielter ist, dann wird auch nach einem verlegten Port gesucht und dieser verwendet. Einziger positiver Effekt es Verlegens ist also, dass die Logs etwas sauberer bleiben. Das nennt sich übrigens "Security by Obscurity" und ist kein Sicherheitsgewinn. Alle Massnahmen, die Port 22 schützen, musst du auch ergreifen, wenn du einen anderen Port verwendest.
Und wenn das Port ändern so eine tolle Idee ist, warum redet eigentlich keiner davon, wenn es um IMAP, IMAP oder SUBMISSION und SMTPS geht (ich rede hier nicht vom SMTP-Port 25, den kann man nicht verlegen, wenn man Mails empfangen will).
 
Wie viele Hundert/Tausend oder mehr Eibruchversuche kommen da überhaupt am SSH-Server an pro Sekunde/Stunde?
Klar, man kann mit einem anderen Port genügend extrem dumme Skirptbubies abwehren.

Ich frage mich gerade, wieso den Port umsetzen, das macht Leute, die was "erforschen" wollen, neugieriger.

Es ist viel sinnvoller zu loggen, wer reinkommt. Denn das sind auch Einbrecher.

Netzreiter kann ja machen, was er will. Er ist root und konfiguriert den Server nach Laune und Wissen.
 
Last edited:
GwenDragon said:
Ich frage mich gerade, wieso den Port umsetzen, das macht Leute, die was "erforschen" wollen, neugieriger.
Click to expand...
Persönliche Meinung; es reduziert das Grundrauschen und automatisierte Angriffe ohne aktive Scan-Kapabilitäten.
Das ergibt
- genauere "echte" Angriffslogs
- hoffentlich etwas mehr Reaktionszeit bei Zerodays da diese generell auf Masse statt Klasse exploited werden
 
You must log in or register to reply here.
Back
Top