ssh地址和ssh端口（SSH协议端口号22）

ssh地址和ssh端口（SSH协议端口号22）作者： Tatu Ylonen-通过 iptables 服务限制 SSH 访问 …… 86%-出站的 SSH 连接 …… 60%-反向通道是有风险的 …… 64%-入站的 SSH 访问 …… 79%

为什么 SSH（安全终端）的端口号是 22 呢，这不是一个巧合，这其中有个我（Tatu Ylonen，SSH 协议的设计者）未曾诉说的故事。 -- Tatu Ylonen

本文导航

• -将 ssh 协议端口号设为 22 的故事 …… 02%

• -如何更改 SSH 服务的端口号 …… 49%

• -配置 SSH 协议穿越防火墙 …… 57%

• -出站的 SSH 连接 …… 60%

• -反向通道是有风险的 …… 64%

• -入站的 SSH 访问 …… 79%

• -通过 iptables 服务限制 SSH 访问 …… 86%

编译自： https://www.ssh.com/ssh/port

作者： Tatu Ylonen

译者： kenxx

为什么 SSH[1]（安全终端）的端口号是 22 呢，这不是一个巧合，这其中有个我（Tatu Ylonen[2]，SSH 协议的设计者）未曾诉说的故事。

将 SSH 协议端口号设为 22 的故事

1995 年春我编写了 SSH 协议的最初版本，那时候 telnet[3] 和 FTP[4] 正被广泛使用。

当时我设计 SSH 协议想着是为了替代 telnet（端口 23）和 ftp（端口21）两个协议的，而端口 22 是空闲的。我想当然地就选择了夹在 telnet 和 ftp 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢？我未曾拥有过任何一个端口号，但我却认识几个拥有端口号的人！

配置防火墙，并转发所有去往 22 端口的连接只能流向到一个特定的内部网络 IP 地址或者一个 DMZ[18] 主机。在该 IP 上运行 CryptoAuditor[19] 或者跳板机来控制和审查所有访问该组织的连接。

在防火墙上使用不同的端口访问不同的服务器。

只允许使用 IPsec[20] 协议这样的 VPN（虚拟专用网）登录后连接 SSH 服务。

通过 iptables 服务限制 SSH 访问

iptables[21] 是一款内建在 Linux 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。

如果服务器上启用了 iptables，使用下面的命令将可以允许进入的 SSH 访问，当然命令需要以 root 身份运行。

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

如果你想将上述命令创建的规则持久地保存，在某些系统版本中，可使用如下命令：

service iptables save

---

via: https://www.ssh.com/ssh/port

作者：Tatu Ylonen[22] 译者：kenxx 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

• [1]: SSH - https://www.ssh.com/ssh/

• [2]: Tatu Ylonen - https://www.ssh.com/people/tatu-ylonen

• [3]: telnet - https://www.ssh.com/ssh/telnet

• [4]: FTP - https://www.ssh.com/ssh/ftp/

• [5]: Jon Postel - https://en.wikipedia.org/wiki/Jon_Postel

• [6]: Joyce K. Reynolds - https://en.wikipedia.org/wiki/Joyce_K._Reynolds

• [7]: /etc/ssh/sshd_config - https://www.ssh.com/ssh/sshd_config/

• [8]: sshd - https://www.ssh.com/ssh/sshd/

• [9]: sftp - https://www.ssh.com/ssh/sftp/

• [10]: 跳板服务器 - https://www.ssh.com/iam/jump-server

• [11]: 通道访问 - https://www.ssh.com/ssh/tunneling/

• [12]: PCI - https://www.ssh.com/compliance/pci/

• [13]: HIPAA - https://www.ssh.com/compliance/hipaa/security-rule

• [14]: NIST SP 800-53 - https://www.ssh.com/compliance/nist-800-53/

• [15]: CryptoAuditor - https://www.ssh.com/products/cryptoauditor/

• [16]: 通用 SSH 密钥管理器（Universal SSH Key Manager） - https://www.ssh.com/products/universal-ssh-key-manager/

• [17]: 主机密钥（host keys） - https://www.ssh.com/ssh/host-key

• [18]: DMZ - https://en.wikipedia.org/wiki/DMZ_(computing)

• [19]: CryptoAuditor - https://www.ssh.com/products/cryptoauditor/

• [20]: IPsec - https://www.ssh.com/network/ipsec/

• [21]: iptables - https://en.wikipedia.org/wiki/Iptables

• [22]: Tatu Ylonen - https://www.ssh.com/ssh/port