关于SSHD更改绑定端口有没有用的分析

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量342 收藏 4
点赞数 4
分类专栏: linux 网络 运维 文章标签: ssh 安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiexijihe945/article/details/137336189
版权
linux 同时被 3 个专栏收录
101 篇文章 9 订阅
订阅专栏
运维
11 篇文章 0 订阅
订阅专栏
网络
10 篇文章 0 订阅
订阅专栏

项目场景:

实际上很多人在安装好服务之后都会选则将默认的端口改掉,美其名曰防止端口扫描。实际上,如果仅仅更改端口就想阻止扫描,那多少有点掩耳盗铃的味道了。看完这篇文章你就明白了。

问题描述

就拿sshd来说吧,加密的安全通讯协议,可以说是未加密的telnetd的完美替换了。今天就围绕着只改默认端口能不能阻止扫描来展开。目的就是找到更改后的sshd端口和成功确认协议。

开始验证:

默认端口

一般不改的话默认是22,用nmap轻松扫描,不用任何额外配置。

nmap 192.168.1.1

PORT      STATE SERVICE
22/tcp    open  ssh
1935/tcp  open  rtmp
8000/tcp  open  http-alt
8443/tcp  open  https-alt
10000/tcp open  snet-sensor-mgmt
10001/tcp open  scp-config
19350/tcp open  unknown

看到了没有,轻松扫出。这里不一定说22端口就一定是sshd服务,但是黑客拿到这个端口就可以着手攻击了。

更改端口

这里更改为18022,依然是使用nmap扫描,不用额外配置。

nmap 192.168.1.1

PORT      STATE SERVICE
1935/tcp  open  rtmp
8000/tcp  open  http-alt
8443/tcp  open  https-alt
10000/tcp open  snet-sensor-mgmt
10001/tcp open  scp-config
19350/tcp open  unknown

看到22端口消失了,这是不是意味着你就安全了?别高兴太早!我们换个方式:

#指定扫描端口范围
sudo nmap -p1-65535 -sV 192.168.1.1

ORT      STATE SERVICE           VERSION
1935/tcp  open  rtmp?
8000/tcp  open  http-alt          ZLMediaKit(git hash:9fd5152/2022-11-19T09:52:10+08:00,branch:master,build time:2
8332/tcp  open  ssl/unknown
8443/tcp  open  ssl/https-alt?
8554/tcp  open  rtsp
10000/tcp open  snet-sensor-mgmt?
10001/tcp open  scp-config?
18022/tcp open  ssh               OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
19350/tcp open  ssl/unknown

时间长了点,但是依然扫描出来了。如果收益够大,这点时间不是问题。到这里已经证明单纯更改默认绑定端口是避不开攻击的。

禁ping

禁ping可以直接让ping命令无法得到回应,进而引发超时,但是对端口扫描有用吗?请继续看:

ping 192.168.1.1

正在 Ping 192.168.1.1 具有 32 字节的数据:
请求超时。
请求超时。

sudo nmap -p1-65535 -sV 192.168.1.1
PORT      STATE SERVICE           VERSION
1935/tcp  open  rtmp?
8000/tcp  open  http-alt          ZLMediaKit(git hash:9fd5152/2022-11-19T09:52:10+08:00,branch:master,build time:2
8332/tcp  open  ssl/unknown
8443/tcp  open  ssl/https-alt?
8554/tcp  open  rtsp
10000/tcp open  snet-sensor-mgmt?
10001/tcp open  scp-config?
18022/tcp open  ssh               OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
19350/tcp open  ssl/unknown

和上面一摸一样,所以禁ping只是在网路里隐藏自己,和端口无关。

解决方案:

我的理解是如果你的端口对外开放,那么是可以扫到的,除非你绑定为localhost。也不是说端口暴露了就一定处在危险之中,像ssh本身就是加密传输,安全性有一定保障,下面就提供几个加固办法,也是我一直在用的。

禁ping

有一丁点用,防菜鸟不防高手。

更改默认端口

有一丁点用,防菜鸟不防高手。

使用私钥登录

禁用密码登录,改用纯私钥登录,安全性比密码高很多。

私钥双重加密

私钥本身还可以添加一个密码,相当于双重密码了。

复杂密码

使用复杂密码,最好是数字+大小写字母+下划线等等,数目越长,破解难度越大。

超时断线

可以设置超时断线,一旦没有数据传输就断开,防止泄密

设置错误重试次数

如果多次重试失败就禁止用户登录

防火墙

如果你的ssh是内网用,可以设置防火墙仅支持指定ip登录

禁用非法ip登录

将疑似攻击的ip假如黑名单来阻止进一步侵害,这种工具很多。

多说一句:

网上很多人说通过替换sshd版本字符串让sshd不返回具体版本信息,因为不同版本有不同的漏洞。通过误导攻击者只能拖延攻击时间,还是不能避免被攻克的命运。我无法评估这个方法用处有多大,毕竟我也没见过真正的黑客能强到怎样可怕的地步,至少防一些普通攻击者是够了吧。

据我所知,ssh基本每个版本都有漏洞,如果真的被自己遇到了,可能修复漏洞才是更好的办法。

总结:

我接触过的很多项目和公司几乎不怎么注意这类安全问题,大公司一般有自己的安全团队。虽说可能服务器上没有什么特别值钱的数据,但是遇到恶意攻击的也不失没可能,到那个时候,法律就是最后的屏障了吧,毕竟使用黑客手段攻击他人是违法行为。

洛克希德马丁
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux增加端口失败,AWS Linux修改SSH默认端口失败的原因与解决方法
weixin_42133861的博客
04-30 513
From修改SSH默认端口失败原因网上大多文章与教程修改SSH端口。第一个就是修改 vim /etc/ssh/sshd_config 文件,去掉 port 22 前面的注释符号 # ,修改为你的目标端口,这个端口不能被其它程序占用,80,21 端口这些尽量不要使用。预防修改失败,建议把 22 这个端口保留,然后新添加一个端口。port 22port 50000当 5000 端口连接连接成功之后,再...
华为服务器如何修改端口,如何修改服务器远程端口
weixin_36296864的博客
08-11 818
如何修改服务器远程端口 内容精选换一换云堡垒机与LDAP服务器对接,认证登录系统的用户身份。本小节主要介绍如何配置LDAP域认证模式。不支持一键同步LDAP服务器用户。不能添加两个相同的LDAP配置,即服务器IP地址+端口+用户OU不能相同。用户已获取系统模块管理权限。已获取LDAP服务器相关信息。若需查看配置的LADP认证信息,可单击详情,在弹出的LDAP详情窗口查看。若需本节操作介绍修改远程桌...
linux修改端口无效,Centos 7系统版本修改ssh远程端口不生效
weixin_36035585的博客
04-30 4756
现象:为保证服务器远程连接的安全性,修改ssh远程端口从默认22端口至其他端口修改/etc/ssh/sshd_configvi /etc/ssh/sshd_config#Port 22 //这行去掉#号Port 20000 //下面添加这一行重启ssh服务systemctl restart sshd.service使用ssh工具连接服务器失败原因:服务器操作系统版本为Centos 7[root@v...
Redhat/Centos ssh 修改默认端口不成功解决办法
gongshijun1的博客
07-24 2633
最近工作需要,需要安装redhat 6.6,以及centos7.6,然后开通服务器外网ssh访问。由于默认端口容易遭受攻击,因此需要修改默认的端口号。如改为8888。以下内容,是本人在修改端口中,碰到一些问题,希望能给大家参考。 1. 首先,修改ssh默认端口,这个估计都知道,编辑 /etc/ssh/sshd_config, 添加 Port 8888。 vi /etc/ssh/sshd_co...
linux怎么修改sftp默认端口,如何在 Linux 系统中如何更改 SFTP 端口
weixin_29062671的博客
04-30 2385
SFTP(SSH文件传输协议)是一种安全文件协议,用于通过加密连接在两个主机之间传输文件。 它还允许您对远程文件执行各种文件操作并恢复文件传输。SFTP可以替代旧版FTP协议。 它具有FTP的所有功能,但连接更加安全。本文介绍了如何在Linux中更改默认的SFTP端口。 我们还将向您展示如何配置防火墙以允许在新端口上使用。SFTP默认使用的端口SFTP是SSH的子系统,并提供与SSH相同级别的安全...
解决:修改ssh端口失败
qq_43140843的博客
06-04 4892
原因:防火墙未打开相应的端口,centos7的防火墙是firewall,网上有一些教程是用的iptables vi /etc/ssh/sshd_config 打开ssh配置文件,注意是sshd_config,而不是ssh_congfig 在#Port 22 下方添加一行Port 3306 不是直接把#Port 22注释删掉,不然后面万一出错连不上就很麻烦 systemctl status fi...
Centos7更改ssh端口报错解决
qq_57305150的博客
11-28 3446
Centos7 ssh failed to start openssh server daemonssh failed to start openssh server daemon
如何在linux中更改端口,如何在Linux中更改SSH端口
weixin_29603829的博客
05-03 2681
默认情况下,SSH侦听端口22。更改默认SSH端口可降低自动攻击的风险,从而为服务器增加一层安全保护。将防火墙配置为仅允许特定主机访问端口22,而不是更改端口更加简单和安全。本教程介绍了如何在Linux中更改默认的SSH端口。我们还将向您展示如何配置防火墙以允许访问新的SSH端口更改SSH端口请按照以下步骤更改Linux系统上的SSH端口:1.选择一个新的端口号在Linux中,低于1024的端口...
修改svn服务器默认端口号,svn服务器地址 不要端口
weixin_30249953的博客
08-11 707
svn服务器地址 不要端口号 内容精选换一换浏览器发送邮件:在使用浏览器登录邮箱时直接使用HTTP协议,其端口号默认为80,邮件服务器之间还是使用邮件发送协议:SMTP协议。通过浏览器发送邮件,则需要开放TCP出方向端口为80。在弹性云服务器页面找到对应的安全组,单击安全组“ID”,进入“安全组”页面。在安全组界面,单击“添加规则”。在弹出的窗口,选择“出方向”,协议为“TCP”,安全组是一个逻辑...
centos 7 修改sshd | 禁止 root登录及sshd端口脚本定义
09-14
主要介绍了centos 7 修改sshd | 禁止 root登录及sshd端口脚本定义,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
修改sshd默认端口的步骤
09-15
ssh的的默认端口是22,将它修改成别的值会更安全一些,修改步骤看下面介绍
Linux SSH 安全策略 更改 SSH 端口
01-10
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:# 编辑 /etc/ssh/ssh_config vim /etc/ssh/ssh_config  # 在 Host * 下 ,加入新的 Port 值。以...
Linux如何修改SSH端口
01-09
 SSH服务端口修改  1.首先查看一下当前linux是否已经安装SSH软件包,使用 rpm -qa|grep ssh  2.找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件(注意和ssh_conf
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 365
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 403
Web应用防火墙的重要性
富格林:梳理可信经验保障安全
fgl100的博客
05-13 243
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定性的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理性分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
怎么看sshd有没有被启动
05-28
您可以使用以下命令来检查sshd是否已经启动: ``` systemctl status sshd ``` 如果sshd正在运行,您将看到类似以下输出: ``` ● sshd.service - OpenSSH server daemon Loaded: loaded (/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: active (running) since Sat 2021-08-28 15:33:28 UTC; 2h 10min ago Docs: man:sshd(8) man:sshd_config(5) Process: 970 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Main PID: 971 (sshd) Tasks: 1 (limit: 4915) CGroup: /system.slice/sshd.service └─971 /usr/sbin/sshd -D ``` 其中,Active: active (running) 表示sshd正在运行。 如果sshd未启动,则会显示类似以下输出: ``` ● sshd.service - OpenSSH server daemon Loaded: loaded (/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: inactive (dead) since Sat 2021-08-28 15:31:13 UTC; 2h 12min ago Docs: man:sshd(8) man:sshd_config(5) Process: 913 ExecStart=/usr/sbin/sshd -D $SSHD_OPTS (code=exited, status=255/EXCEPTION) Main PID: 913 (code=exited, status=255/EXCEPTION) ``` 其中,Active: inactive (dead) 表示sshd未启动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值