ssh地址和ssh端口(SSH协议端口号22)
ssh地址和ssh端口(SSH协议端口号22)作者: Tatu Ylonen-通过 iptables 服务限制 SSH 访问 …… 86%-出站的 SSH 连接 …… 60%-反向通道是有风险的 …… 64%-入站的 SSH 访问 …… 79%
为什么 SSH(安全终端)的端口号是 22 呢,这不是一个巧合,这其中有个我(Tatu Ylonen,SSH 协议的设计者)未曾诉说的故事。 -- Tatu Ylonen
本文导航-
-将 ssh 协议端口号设为 22 的故事 …… 02%
-
-如何更改 SSH 服务的端口号 …… 49%
-
-配置 SSH 协议穿越防火墙 …… 57%
-
-出站的 SSH 连接 …… 60%
-
-反向通道是有风险的 …… 64%
-
-入站的 SSH 访问 …… 79%
-
-通过 iptables 服务限制 SSH 访问 …… 86%
作者: Tatu Ylonen
译者: kenxx
为什么 SSH[1](安全终端)的端口号是 22 呢,这不是一个巧合,这其中有个我(Tatu Ylonen[2],SSH 协议的设计者)未曾诉说的故事。
将 SSH 协议端口号设为 22 的故事1995 年春我编写了 SSH 协议的最初版本,那时候 telnet[3] 和 FTP[4] 正被广泛使用。
当时我设计 SSH 协议想着是为了替代 telnet(端口 23)和 ftp(端口21)两个协议的,而端口 22 是空闲的。我想当然地就选择了夹在 telnet 和 ftp 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢?我未曾拥有过任何一个端口号,但我却认识几个拥有端口号的人!
配置防火墙,并转发所有去往 22 端口的连接只能流向到一个特定的内部网络 IP 地址或者一个 DMZ[18] 主机。在该 IP 上运行 CryptoAuditor[19] 或者跳板机来控制和审查所有访问该组织的连接。
在防火墙上使用不同的端口访问不同的服务器。
只允许使用 IPsec[20] 协议这样的 VPN(虚拟专用网)登录后连接 SSH 服务。
iptables[21] 是一款内建在 Linux 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。
如果服务器上启用了 iptables,使用下面的命令将可以允许进入的 SSH 访问,当然命令需要以 root 身份运行。
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW ESTABLISHED -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
如果你想将上述命令创建的规则持久地保存,在某些系统版本中,可使用如下命令:
service iptables savevia: https://www.ssh.com/ssh/port
作者:Tatu Ylonen[22] 译者:kenxx 校对:wxy
本文由 LCTT 原创编译,Linux中国 荣誉推出
-
[1]: SSH - https://www.ssh.com/ssh/
-
[2]: Tatu Ylonen - https://www.ssh.com/people/tatu-ylonen
-
[3]: telnet - https://www.ssh.com/ssh/telnet
-
[4]: FTP - https://www.ssh.com/ssh/ftp/
-
[5]: Jon Postel - https://en.wikipedia.org/wiki/Jon_Postel
-
[6]: Joyce K. Reynolds - https://en.wikipedia.org/wiki/Joyce_K._Reynolds
-
[7]: /etc/ssh/sshd_config - https://www.ssh.com/ssh/sshd_config/
-
[8]: sshd - https://www.ssh.com/ssh/sshd/
-
[9]: sftp - https://www.ssh.com/ssh/sftp/
-
[10]: 跳板服务器 - https://www.ssh.com/iam/jump-server
-
[11]: 通道访问 - https://www.ssh.com/ssh/tunneling/
-
[12]: PCI - https://www.ssh.com/compliance/pci/
-
[13]: HIPAA - https://www.ssh.com/compliance/hipaa/security-rule
-
[14]: NIST SP 800-53 - https://www.ssh.com/compliance/nist-800-53/
-
[15]: CryptoAuditor - https://www.ssh.com/products/cryptoauditor/
-
[16]: 通用 SSH 密钥管理器(Universal SSH Key Manager) - https://www.ssh.com/products/universal-ssh-key-manager/
-
[17]: 主机密钥(host keys) - https://www.ssh.com/ssh/host-key
-
[18]: DMZ - https://en.wikipedia.org/wiki/DMZ_(computing)
-
[19]: CryptoAuditor - https://www.ssh.com/products/cryptoauditor/
-
[20]: IPsec - https://www.ssh.com/network/ipsec/
-
[21]: iptables - https://en.wikipedia.org/wiki/Iptables
-
[22]: Tatu Ylonen - https://www.ssh.com/ssh/port