ssh em porta diferente da padrão
Colaboração: Rubens Queiroz de Almeida
Data de Publicação: 10 de setembro de 2015
Não é novidade para ninguém que as tentativas de invasão estão crescendo a cada dia. Uma das técnicas de invasão mais comuns é a tentativa de acesso via ssh, fornecendo nomes de usuários mais comuns e senhas óbvias.
Como os ataques são feitos de forma massificada, tentando explorar o maior número de hosts no menor espaço de tempo, alterar a porta padrão do ssh para uma outra porta, qualquer que seja lá, já reduz enormemente o número de tentativas de invasão ao seu servidor. Se a porta 22 não responder, o atacante segue em frente, passando para a próxima vítima.
Para alterar a porta padrão do ssh, edite o arquivo /etc/ssh/sshd_config
.
Procure pela linha
Port 22
e altere-a para a porta em que deseja instalar o serviço ssh;
Port 34222
Não use portas muito semelhantes ao número 22, como 222 ou 2222 ou ainda 22222, pois à medida em que mais servidores fizerem esta alteração, os malfeitores começarão a testar também estas portas. Hoje podemos dizer que mesmo estas portas semelhantes reduzem bastante as tentativas de invasão, mas no futuro isto poderá mudar. Infelizmente, nos dias de hoje, o futuro é amanhã.
Uma vez alterada a diretiva Port
é preciso reiniciar o servidor sshd:
sudo service ssh restart ssh stop/waiting ssh start/running, process 4046
Para logar no servidor, uma vez feita a alteração, você precisa também fornecer a nova porta como argumento no comando ssh:
ssh www.exemplo.com.br -p 22222
Confesso que é um pouco irritante, digitar o número da porta todas as vezes
que usar o comando ssh. Entretanto, isto pode ser alterado. Basta editar
o arquivo $HOME/.ssh/config
e insirir as seguintes linhas:
Host www.exemplo.com.br Port 22222
Se você acessar diversos servidores regularmente, basta inserir diretivas semelhantes para cada um deles.
Pronto, não é mais necessário digitar a porta.
IMPORTANTE: todos os serviços que utilizam ssh, como rsync, rsnapshot, e outros precisam ser modificados para refletir a alteração no número da porta padrão do ssh.
Veja também
- Dando mais segurança ao serviço SSH com fail2ban e samhain, por João Eriberto Mota Filho
- Diminuindo tentativas de invasão via SSH, por Renato Rudnicki
- Dicas avançadas de segurança para SSH, por Rubens Q. de Almeida