我喜欢能够通过 ssh 进入我的服务器(我知道这很令人震惊)。问题出现在我旅行的时候,我会面对酒店和其他机构的各种防火墙,这些防火墙有各种配置,有时甚至相当愚蠢。
我想设置一个 sshd 来监听一个很可能解决此问题的端口。有什么建议吗?
sshd 目前监听非标准(但小于 1024)端口,以避免脚本小子敲门。此端口经常被阻止,我的 IMAP 服务器所在的另一个非标准端口也是如此。
我在端口 25 和 80 上运行了一些服务,但其他端口也行。我当时想也许 443 也行。
非常感激!
里德
答案1
我不明白为什么 443 不起作用。
但是,我总是质疑在 22 以外的端口上运行 sshd。我自己没有尝试过,但它是通过隐蔽性实现安全性的。它提供了一种虚假的安全感。许多机器人会在攻击前或 22 关闭时花时间扫描主机端口。如果 22 在大多数防火墙上都有效,我会重新使用 22 并设置密钥对进行身份验证,并完全禁用密码身份验证(无论您是否返回 22)
443 听起来是个不错的选择,因为它应该经常开放。
答案2
443 不是一个好主意。特别是如果你不使用它进行 SSL 通信,端口 443 是一个危险的解决方案。首先,gmail 或任何大型服务提供商都会将你标记为公共代理服务器(它们标记所有在 443 上工作而不需要 SSL 加密。)此外,一些专业防火墙还会阻止 443 上没有 SSL 的任何通信。因为像 ultrasurf 或 thor 等代理程序。也许你可以将它恢复到 23 或保留在 22。如果你不喜欢 sshd 上的暴力破解程序。我建议你使用 fail2banhttp://www.fail2ban.org/wiki/index.php/Main_Page 它是保护 sshd、ftp 服务器等的完美解决方案。
答案3
我认为 443 是一个不错的端口,但请注意,有些防火墙可能会进行内容检查,以确保端口 443 流量实际上是 https。还有一些奇怪的位置,它们不喜欢加密流量,因此拒绝端口 443。
根据设置,端口 53 可能没问题 - 如果他们没有将传出流量限制到他们自己的 DNS 服务器。
可能还会考虑是否可以使用备用 IP 地址。您不必让您的 Web 服务器监听您服务器拥有的每个 IP 地址,在这种情况下,您只需使用最不可能被阻止的 IP 端口 80 即可。
再说一遍,如果您试图让 ssh 服务器变得模糊,那么将其放在众所周知的端口上可能不是明智之举。端口 80 和 443 上可能有内联代理服务器,可以阻止您这样做。
答案4
我为一些将系统连接到许多受限网络的用户提供 VPN 支持。根据我的经验,没有哪个端口可以 100% 地监听。如果您想要高可用性连接,您可能需要将系统设置为接受许多端口上的连接。
只需设置 SSH 来监听某个端口,然后使用 NAT 使其在其他端口上可用。
既然您提到端口 80 正在使用中。如果您在端口 80 上运行 Apache,您甚至可以将其设置为代理。但请确保您花时间了解如何正确设置访问权限,以免成为开放代理。
不幸的是,如果您真的希望您的系统能够从受限制的网络访问,您可能会进行大量扫描。通常允许通过防火墙的协议与通常使用和扫描的协议相同。设置类似denyhosts或fail2ban的东西,这样您的系统就会将人们拒之门外。