Jak zmienić numer portu SSH w Raspberry Pi?

[Komentator]

Do zdalnego połączenia z Raspberry Pi używa się głównie SSH. Domyślnie używanym portem dla tej metody komunikacji jest numer 22. Czasami warto jednak zmienić to ustawienie, aby utrudnić dostęp do Raspberry Pi niepowołanym osobom, które chciałby np. złamać nasze hasło. 

UWAGA, to tylko wstęp! Dalsza część artykułu dostępna jest na blogu.

Przeczytaj całość »

Poniżej znajdują się komentarze powiązane z tym wpisem.

[Inari]

przydatne ale brakuje mi tu krótkiego tipa jak połączyć się do ssh na innym porcie używając po prostu bashowej komendy ssh

[Treker (Damian Szymański)]

Nie taki był cel tego artykułu - jeśli uważasz, że to się może komuś tutaj przydać, to podziel się swoim rozwiązaniem. Na pewno ktoś skorzysta. Opisz tylko trochę kontekst, aby było wiadomo kiedy takie coś ma być przydatne (w odniesieniu do tego artykułu), bo z pierwszej wiadomości mogę się tylko domyślać co dokładnie masz na myśli.

[Belferek]

3 godziny temu, Inari napisał:

jak połączyć się do ssh na innym porcie używając po prostu bashowej komendy ssh

man ssh mówi, że:

-p port
             Port to connect to on the remote host.  This can be specified on
             a per-host basis in the configuration file.

Może więc tak?

[Polecacz 101]

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

[Treker (Damian Szymański)]

@Belferek masz rację tak się podaję inny port podczas łączenia za pomocą tego polecenia.

Nie mam tylko pojęcia czy o to pytał @Inari, wydaje mi się, że chodziło mu o coś w kontekście Raspberry Pi - stąd moje zwątpienie, bo nie wiem co to miało by być. To co tutaj opisałeś to już kwestia "ustawień" po stronie komputera, z którego nawiązujemy połączenie. Jeśli ktoś korzysta na co dzień z Linuksa to racze powinien dać sobie radę - chociażby korzystając ze wspomnianego przez Ciebie polecenia man, które było nawet omawiane w naszym kursie. Konkretnie tu: Kurs Raspberry Pi – #8 – podstawy Linuksa.

[Belferek]

5 godzin temu, Inari napisał:

jak połączyć się do ssh na innym porcie używając po prostu bashowej komendy ssh

znaczy chyba tyle - jak użyć polecenia ssh by połączyć się z serwerem działającym na niestandardowym porcie

Jeśli autor miał co innego na myśli to pewnie się określi.

Nawiązując do wskazanego w artykule edytora nano, to osobom nie mogącym się się do niego przekonać polecam zainstalowanie pakietu mc czyli Midnight Commander. Super narzędzie ułatwiające pracę w powłoce tekstowej Linuxa z dostępnym pod F4 przyjaznym edytorem tekstu. To taki prawie jak Norton Commander w czasach DOS :-). Sam korzystam od wielu lat i nie wyobrażam sobie pracy bez tego narzędzia.

[aleksey_pl]

Witajcie.

Proponuję także dodać artykuł o generowaniu kluczy publicznych i prywatnych, implementowaniu ich w ssh oraz port tunelingu przez ssh - zamyka to temat dostępu zdalnego do Maliny, jeśli ktoś lubi łączyć się do serwera VNC, a chce robić to w bezpieczny sposób.

Pozdrawiam

AK

Edytowano Marzec 1, 2019 przez aleksey_pl

[roger_z]

@aleksey_pl +1

Dokładnie tak. Nie mydlmy ludziom oczu, że zmiana numeru portu w jakimkolwiek stopniu podnosi bezpieczeństwo. Nie podnosi. Skanowanie portów i identyfikacja usług na nich nie stanowi problemu.

Pierwszym krokiem NIE jest zmiana portu. Pierwszym krokiem NIE jest zmiana hasła. Pierwszym krokiem JEST wyłączenie możliwości logowania hasłem i przejście na używanie kluczy publicznych przy logowaniu ograniczonym do wybranej grupy użytkowników (root nie powinien być w tej grupie).

Zasugerowałbym jeszcze poruszenie kwestii VPNów, ale to chyba będzie zbyt złożony temat jak na grupę docelową czytelników tego serwisu.

Edytowano Marzec 1, 2019 przez roger_z

[ethanak]

6 minut temu, roger_z napisał:

Skanowanie portów i identyfikacja usług na nich nie stanowi problemu.

Tylko że boty nie bawią się w skanowanie portów jakichś paszczatych serwerków tylko wbijają się na port 22. Jak długo pracuję jako admin (a to już paręnaście lat) nie widziałem aby ktoś mi się próbował wcinać na port na który stoi mój SSH.

Poza tym zmiana portu nie tyle podnosi bezpieczeństwo, co eliminuje niepotrzebne obciążanie systemu przez wszelakie zombiaki z Kazachstanu.

Klucze publiczne możesz sobie wsadzić tam gdzie słońce nie dochodzi, jeśli musisz czasem logować się z dowolnych maszyn (np. z każdej z 20 maszyn w biurze) nie udostępniając swojego systemu każdemu, kto posadzi tyłek na krześle. Owszem, są wygodne w domciu bo nie musisz hasełka do swojej malinki bez przerwy wpisywać - i tyle.

Zresztą - biorąc po uwagę że malinki zwykle rosną w ogródku za furtką o nazwie NAT, dopóki nikt Ci się do sieci nie włamie to na malince możesz równie dobrze zainstalować serwer telnetu bez hasła, nie wpłynie to w żaden sposób na bezpieczeństwo. A zabezpieczanie routerów to już na pewno nie temat do tego wątku.

[roger_z]

>Jak długo pracuję jako admin (a to już paręnaście lat) nie widziałem aby ktoś mi się próbował wcinać na port na który stoi mój SSH.

Moje obserwacje są jednak nieco inne.

>eliminuje niepotrzebne obciążanie systemu

Złudzenie. Nie eliminuje, a przesuwa w inne miejsce. Może np. na dropujący router. Owszem, może ono być mniejsze, ale nie będzie ono wyeliminowane.

>Klucze publiczne możesz sobie wsadzić tam gdzie słońce nie dochodzi, jeśli musisz czasem logować się z dowolnych maszyn (np. z każdej z 20 maszyn w biurze) nie udostępniając swojego systemu każdemu, kto posadzi tyłek na krześle.

Coś robisz źle 😄 Mam nadzieję, że to tylko duży skrót myślowy i te maszyny nie mają współdzielonych kont pomiędzy użytkownikami krzeseł. BTW: ansible? puppet? poza tym... mimo że w idealnej sytuacji klucze siedzą na dysku komputera na koncie uzytkownika (i nie są powtarzalne), to są jeszcze inne opcje - zakładam, że w tych maszynach jest port USB.

>biorąc po uwagę że malinki zwykle rosną w ogródku za furtką o nazwie NAT, dopóki nikt Ci się do sieci nie włamie

Zakładam, że to nie jest ta sytuacja, skoro jednak próbujemy pracować nad bezpieczeństwem (nawet jeśli to tylko zmiana numeru portu).

[Treker (Damian Szymański)]

@aleksey_pl, witam na forum 😉 Widzę, że to Twoje pierwsze kroki na Forbocie, oto najważniejsze informacje na start:

• Chcesz przywitać się z innymi członkami naszej społeczności? Skorzystaj z tematu powitania użytkowników.
• Opis najciekawszych funkcji, które ułatwiają korzystanie z forum znajdziesz w temacie instrukcja korzystania z forum - co warto wiedzieć?
• Poszczególne posty możesz oceniać (pozytywnie i negatywnie) za pomocą reakcji - ikona serca w prawym dolnym rogu każdej wiadomości.

3 godziny temu, aleksey_pl napisał:

Proponuję także dodać artykuł o generowaniu kluczy publicznych i prywatnych, implementowaniu ich w ssh oraz port tunelingu przez ssh - zamyka to temat dostępu zdalnego do Maliny, jeśli ktoś lubi łączyć się do serwera VNC, a chce robić to w bezpieczny sposób.

Dziękuję za propozycję. Tak masz rację, do tego artykułu można jeszcze dodać wiele. Powtórzę jednak to co pojawiło się pod poprzednim wpisem z tej serii. Tym razem, wyjątkowo zależy nam na publikacji krótkich wpisów omawiających jedno, proste zagadnienie. Dzięki temu będzie można kierować osoby z forum do konkretnych miejsc, w których od razu znajdą rozwiązanie swojego problemu. Odsyłanie do bardzo długich i rozbudowanych artykułów jest trochę mniej wygodne w takim kontekście. O tunelingu nic jeszcze nie było, ale akurat logowanie za pomocą kluczy było opisane przez nas już dawno temu, konkretnie tu: Kurs Raspberry Pi  - dostęp zdalny VNC, SCP, klucze RSA.

1 godzinę temu, roger_z napisał:

Dokładnie tak. Nie mydlmy ludziom oczu, że zmiana numeru portu w jakimkolwiek stopniu podnosi bezpieczeństwo. Nie podnosi. Skanowanie portów i identyfikacja usług na nich nie stanowi problemu.

Rozumiem, że według Ciebie nie podnosi to zupełnie bezpieczeństwa i w porządku - nie będę Cie przekonywał. W Internecie znaleźć można jednak całkiem sporo opinii osób, które po zmianie portu odnotowały spadek prób automatycznego logowania się przez boty do SSH na porcie numer 22 (przy jednoczesnym braku prób logowania na innych portach). Oczywiście, że można przeskanować porty i znaleźć nowy numer, jednak nie każdy "atakujący" to robi. Zawsze jest to jakiś dodatkowy czynnik bezpieczeństwa.

1 godzinę temu, roger_z napisał:

Zasugerowałbym jeszcze poruszenie kwestii VPNów, ale to chyba będzie zbyt złożony temat jak na grupę docelową czytelników tego serwisu.

Proponowałbym odłożyć zgryźliwości na bok, bo można się zdziwić jakie osoby regularnie do nas zaglądają. Jeśli uważasz, że poziom jest zbyt niski to zawsze możesz pokazać coś ciekawego w działach do publikacji poradników na forum, konkretnie tutaj: artykuły użytkowników. Gorąco zachęcam do aktywności 🙂

[roger_z]

15 minut temu, Treker napisał:

Proponowałbym odłożyć zgryźliwości na bok, bo można się zdziwić jakie osoby regularnie do nas zaglądają.

Nie, nie, to nie jest zgryźliwość, a okazanie zrozumienia odnośnie ukierunkowania na konkretną grupę docelową. Nie mam nic przeciwko - wpisy dla osób początkujących również są bardzo potrzebne i chwała Wam za to. 🙂

[Inari]

Dnia 28.02.2019 o 19:34, Belferek napisał:

man ssh mówi, że:

-p port
             Port to connect to on the remote host.  This can be specified on
             a per-host basis in the configuration file.

Może więc tak?

o to chodziło, dzieki!