1

Я пытаюсь узнать кое-что о безопасности сервера.

Я установил nmap для проверки открытых портов моего сервера.

Теперь я изменил порты по умолчанию почти на всех. Таким образом, Nmap сообщает неверные имена для служб, которые я использую.

Например, ssh я изменил на какой-то случайный порт, и кажется, что этот порт используется какой-то другой программой, поэтому nmap сообщает об этой другой программе.

Я думал, все еще возможно ли определить, что ssh на самом деле стоит за этим открытым портом? какие инструменты для этого? если это все еще возможно, то нет смысла менять номера портов по умолчанию, верно?

на самом деле, я только что попробовал nmap -sV mini.local, и он дал мне версию программы, чтобы он правильно идентифицировал SSH на нестандартном порту.

Так какой смысл менять номер порта по умолчанию?

3 ответа3

2

Да, иногда можно определить, что прослушивает конкретный порт. Например, telnet к вашему "перемещенному" ssh:

telnet [ваш.ip.адрес] [новый-номер-ssh-порта]

Telnet подключится и демон SSH ответит примерно так:

Попытка хххх ..
Подключен к хххх
Escape-символ '^]'.
SSH-2,0-OpenSSH_4.3

Очевидно, что этой информации достаточно, чтобы понять, что ssh прослушивает этот порт. Многие другие сервисы (SMTP, POP и т.д.) Также отправляют информацию о баннере. Но не все услуги.

Однако подключение ко всем портам на вашем компьютере отнимает много времени, особенно если ваш брандмауэр настроен так, чтобы просто отбрасывать нежелательные соединения. Поэтому большинство атак "оптовые": скрипт kiddie пробует порт 22 на 100 000 компьютеров и т.д. Изменение порта по умолчанию для ssh - полезная тактика, позволяющая избежать этих атак и предотвратить заполнение ваших журналов бесполезными предупреждениями об этих атаках.

Однако это не настоящая безопасность, это просто безопасность по неизвестности. Вам все еще нужен хороший пароль или, что еще лучше, демон ssh, настроенный на прием только сертификатов, правильно настроенный брандмауэр и т.д.

0

как правило, telnet предоставит вам некоторую информацию о баннере или использует баннерный захват nmap

0

Например, ssh я изменил на какой-то случайный порт, и кажется, что этот порт используется какой-то другой программой, поэтому nmap сообщает об этой другой программе.

«Хорошо известные номера портов» перечислены в /etc /services, этот список основан на списке, поддерживаемом Управлением по присвоению номеров в Интернете (IANA).

так какой смысл менять номер порта по умолчанию?

Как сказал Хаймг, это немного усложняет жизнь сценаристам. На практике я нахожу, что это устраняет много "шума" в моих журналах SSH (syslog).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .