Смена порта SSH

Я как то писал, что защищал один проект от брутфорса SSH его ( SSH ) отключением. Вот эта статья Как отключить SSH на VDS с ISPManager . Как показало время это не самый лучший способ. В какой то момент сервер лег, апач не поднялся – панель не доступна, SSH отключен – пришлось просить поддержки у поддержки. Хорошо, что у RuWeb на редкость позитивный и быстрый саппорт. Но от греха решил таки вернуть SSH, но как его защитить, хотя бы от тупого взлома.


Простой способ нашелся сразу. Это поменять порт SSH. Понятно что если будут ломать сайт целеноправленно, то найти такой порт не сложно, но от бестолкового долбления ботов в 22 порт всё же избавит.

Итак меняем порт на котором слушает SSH

Тут есть нюанс. Оказывается ssh запускается/останавливается поразному. Об этом я писал в статье Как отключить SSH на VDS с ISPManager , и соответственно порты перенастраиваются в разных местах. Так как я в этих делах не профи возьму частности

1й вариант – смена порта SSH на VDS на FreeBSD 8 – идем в папку /etc/ssh , находим два файла
sshd_config – в нем раскоментируем ( уберем решетку ) перед словом Port, а после него пишем собственно номер порта. Цифра от фонаря, но нижние цифры обычно заняты. Вроде нормально брать любую цифру от 20000 до 60000. Кроме того рекомендуют убрать протокол Protocol 1 – оставить только Protocol 2. Вроде как Protocol 2 более безопасный.

Port 33333
Protocol 2

В файле ssh_config изменения абсолютно аналогичные.

2й вариант – смена порта SSH на VDS на FreeBSD 6 – ищем файлик /etc/services . В нём ищем строку

ssh 22/tcp #Secure Shell Login
ssh 22/udp #Secure Shell Login

и меняем её на что-то вроде

ssh 33333/tcp #Secure Shell Login
ssh 33333/udp #Secure Shell Login

Включаем SSH если его отключали, отключаем FTP, перегружаем сервер ( ну или службу ) и радуемся чистым логам.

9 ноября 2010 |

Уже есть один комментарий к “Защита SSH – смена порта SSH”

  1. Kasumiru 1 июля, 2013

    По моему гораздо проще дописать строчку в ipfw\iptables для разрешения 22 порта только для определенных ip адресов. Плюс в самом файле sshd_config есть незабвенная “ListenAddress”. Если необходимо долбится с разных ипов по 22 порту можно и с port knocking заморочиться. Ну и конечно же все же сменить его с 22 на другой. По моему на внешних серваках это аксиома. Да и правильнее всего “PermitRootLogin no”

Есть что сказать по теме статьи? Пожалуйста - пишите!