как сделать стандарт ssh, портируют скрытый порт?
Я предполагаю, что это действительно зависит от Вашего бизнеса. В моем предыдущем сообщении как Системный администратор Linux младший что-либо разложение было ОЧЕНЬ плохо. У нас были клиенты, которые зависели от вещей, программисты, которые не сделали отличной работы по обеспечению/сохранению их кода и людей в другом питании отделов с вещами, которых они не имели никакого права коснуться.
В моей текущей позиции ошибки не к ужасно плохо. На днях, мой босс случайно комната-rf *редактор неправильный каталог. действительно ли это была боль для перезаписи сценариев?конечно. мы теряли много денег? нет.
Все, что я могу сказать, следуют, предыдущая молитва упомянула: думайте дважды, сделайте однажды. И, потому что все мы знаем, что это не всегда удается, имеет некоторый план восстановления. Лично я - поклонник каталога Rsync'd, который сохранил все важные файлы ночью, но поэтому он работает на меня. другим людям, возможно, понадобятся решения для резервного копирования, которые являются намного более частыми.
Сервер ничего не отправляет, это - клиент, говорящий Вам, сервер отказался от соединения. Это - ожидаемое поведение, если порт TCP закрывается, когда Вы пытаетесь соединиться.
Если Вы хотите, чтобы Ваша система тихо отбросила пакеты, не отправляя "этот порт, закрывается" ответ TCP (так называемый скрытый порт), необходимо использовать брандмауэр в системе и/или промежуточный это и клиенте.
-
1Это не корректно! Стопка сети сервера отправляет пакеты. Когда клиентская программа отправляет пакет SYN TCP для запроса соединения, ответный пакет с ACK и набором флагов RST, согласно исследованию захваченных пакетов, классифицирован, поскольку соединение отказалось от ошибки. Никакой сервер не слушает на порте, и порт закрывается, как Вы сказали правильно. – drAlberT 1 September 2009 в 11:32
-
2Я имел в виду это " соединение refused" сообщение не было отправлено сервером, как исходный плакат думал; это было клиентское приложение, указывая, что сервер отказался от соединения. Я думаю, что те три downvotes были немного слишком много. – Massimo 1 September 2009 в 16:29
Вы уже сделали это - соединение отказалось, ответ отправляется операционной системой, когда попытка предпринята для соединения с портом, который не имеет ничего слушающего на нем.
То, что Вы видите, наиболее вероятно реакция Вашего клиента на ICMP, недостижимый портом отправленный сервером после получения первого SYN-пакета TCP для порта, который не принимает соединения. Это - корректное поведение и позволяет клиенту быстро говорить Вам так.
Если Вы на самом деле имеете в виду хитрость, поскольку в "этом хосте является несуществующим, мертвым или в режиме офлайн и не отправляет ничего вообще", настраивает Ваш брандмауэр для отбрасывания (в противоположность отклонению) любых пакетов к этому порту. Принятие netfilter/iptables:
iptables -I INPUT -p tcp --dport 22 -j DROP
Это приводит к клиенту, зависающему некоторое время, поскольку это не может решить, в пути ли ответ или несуществующий.
Примечание: Это на самом деле уничтожит все соединения немедленно, включая рабочие. Предупреждение переключателя Molly!
Стопка сети сервера отправляет пакеты в ответ на клиент попытка подключения TCP.
Когда клиентская программа отправляет пакет SYN TCP для запроса соединения, ответный пакет с ACK и набором флагов RST, согласно исследованию захваченных пакетов, классифицирован, поскольку соединение отказалось от ошибки. Никакой сервис не слушает на порте, и порт закрывается.
- если Вы хотите "скрытый" порт, мое предложение ничего не состоит в том, чтобы сделать, поскольку это - ожидаемое поведение закрытого порта без сервиса позади.
- при ОТБРАСЫВАНИИ пакетов на этом порте, у Вас будет "фильтрованный" порт на сканировании nmap, делая взломщика, чтобы думать, что сервис слушает, и брандмауэр запрещает доступа ему
кроме того, ОТБРАСЫВАНИЕ не является "вежливой целью", поскольку оно делает сеть неясной для клиентов. ОТБРАСЫВАНИЕ должно использоваться с осторожностью.
если Вы действительно хотите, чтобы порт был хорошим врагом взломщика, Вы могли бы интересоваться tarpit iptables модуль
если Вы хотите дезориентировать своего взломщика, можно присоединиться к цели ОТКЛОНЕНИЯ и игре с комбинацией экзотики кодов ошибки ICMP и - тип отклонения:
ОТКЛОНЕНИЕ
- отклонение - с типом
Данный тип может быть
icmp-net-unreachable
icmp-host-unreachable
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited или
icmp-admin-prohibited
. Вы можете полностью скрыть свой порт ssh с помощью fwknop в сочетании с установкой значения по умолчанию политика запрета в iptables для тихого отбрасывания пакетов. nmap будет видеть только общедоступные службы.
С развернутым fwknop , любой, кто использует nmap для поиска SSHD, не может даже сказать, что он прослушивает - нет никакой разницы, если они хотят бежать взломщик паролей против SSHD или даже если у них есть эксплойт нулевого дня.
См. мое руководство для fwknop и сопутствующие страницы для безопасных ssh шифров.