+ Responder ao Tópico



  1. #1

    Padrão ssh oculto

    bom e ae galera do forum, faz tempo que não posto aqui.

    bom vamos lá eu to montando um server web, no cl10, e como ta em desenvolvimento to afim de deixar o ssh ativo, mas tem um porem como faço para esconder a porta dele ou seja, deixar oculta, e que somente o meu ip acesse. e veja se a porta esta ativa.
    estou usando iptables para firewall

  2. #2
    Visitante

    Padrão ssh oculto

    Assim cara deixar a porta oculta é dificil pois o ssh tem que ficar ouvindo na porta pra ver se tem conecçoes mas o que vc pode fazer pra aumentar a segurança é mudar a porta do ssh e se não em engano tem como tambem definir quais ips so vao poder acessar o ssh, e nunca é bom esquecer de nao deixar login como root.

    Falows



  3. #3
    Aquini
    Visitante

    Padrão ssh oculto

    Se vc não estiver rodando o daemon SSHD em princípio nenhum outro serviço irá "bindar" a porta 22. para garantir que não hajam conexões crie uma regra no iptables para bloquear a entrada nesta porta...

    T+

  4. #4
    wrochal
    Visitante

    Padrão ssh oculto

    Caro Linuxkids,

    Neste caso você pode usar o iptables, para liberar o acesso para seu ip caso seja fixo e bloquear para o resto:

    iptables -A INPUT -p tcp --syn -s X.X.X.X --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 0/0 --destination-port 22 -j DROP

    Troque X.X.X.X pelo seu IP o rango da sua rede.

    Outra opção é trocar a porta do ssh por exemplo para 2222 ou 8022, qual vc preferir.

    edite o arquivo /etc/ssh/sshd_config

    A linha Port 22, se estive comentada descomente e coloque a porta desejada.

    Falou,



  5. #5

    Padrão ssh oculto

    bom galera obrigado pela dica, queria saber se eu mudar o ssh para a porta 80, cuja qual seria http, teria alguma novidade
    .

    Caro Aquini
    Se eu não deixar o daemom do ssh ele não habilita, e o ssh não roda camarada. A não ser se eu estiver errado.[/img]

  6. #6
    wrochal
    Visitante

    Padrão ssh oculto

    Cara,

    Por que a 80, e não outra q nem seja porta lógica de daemon...?

    falou,



  7. #7
    Danilo_Montagna
    Visitante

    Padrão ssh oculto

    nao ira fazer diferença nenhuma vc mudar da 22 para 80.. a porta vai liberar a conexao do mesmo jeito.. e se alguem quizer.. vai atacar a "aplicacao" ssh do mesmo jeito.. seja na porta 22 ou na 80.. ou em qualquer outra porta...

    indiferente de qual porta vc usa.. vc tem que se previnir dos eventuais atacks.. e nao é trocando apenas a porta.. que isso ira acontecer..

    tera que implementar obrigatoriamente ferramentas como firewall e IDS..

    []'s

  8. #8

    Padrão ssh oculto

    nao ira fazer diferença nenhuma vc mudar da 22 para 80.. a porta vai liberar a conexao do mesmo jeito.. e se alguem quizer.. vai atacar a "aplicacao" ssh do mesmo jeito.. seja na porta 22 ou na 80.. ou em qualquer outra porta...

    indiferente de qual porta vc usa.. vc tem que se previnir dos eventuais atacks.. e nao é trocando apenas a porta.. que isso ira acontecer..

    tera que implementar obrigatoriamente ferramentas como firewall e IDS..

    []'s
    bom configurei o firewall, e como fazer por IDS, quero dizer como assi.



  9. #9

    Padrão ssh oculto

    Como IDS pode usar o snort, que eu saiba o melhor que tem mais informacoes em www.snort.org

    Falows

  10. #10

    Padrão ssh oculto

    Am... sugestão?

    Porque ele não deixa o lance no hosts.deny e hosts.allow?



  11. #11
    Alkaponi
    Visitante

    Padrão ssh oculto

    ae galera eu vejo muito tutorial, ou forum comentar sobre este tal id, alguem pode me explicar como funciona, e para que serve ou o que seria isto

  12. #12
    Visitante

    Padrão ssh oculto

    iptables -A INPUT -s SEU.IP -m tcp -p tcp --dport 22 -d IP.SRV.WEB -j ACCEPT
    iptables -A INPUT -s ! SEU.IP -m tcp -p tcp --dport 22 -d IP.SRV.WEB -j DROP



  13. #13
    Visitante

    Padrão ssh oculto

    sobre o lance do host.allow/host.deny.. eu (particularmente) nao confio neles, pelo simples fato de ser uma ponte entre o protocolo tcp/ip e o programa em si... pra ter algum problema com o inetd ou xinetd (como ja houve no passado) nao custa mto...