Как подключиться к SSH если port 22 закрыт?

у админа нужно много чего запрашивать и, думаю, начать надо с того, какой тип VPN-соединения используется.. Уверен, что не от тебя закрыли?

Понятно. Значит нужно идти к админу.

Говорит был ddos вот и закрыли.

Вообще, интересный у вас админ, который SSH по 22-му порту в Инет вываливает...

И не DDoS это был, а просто все интернет-черви разом ломанулись пароли подбирать к вашему вываленному SSH.

Горе-одмина уволить не хотите?

Вообще, интересный у вас админ, который SSH по 22-му порту в Инет вываливает...

Админы они все интересные и каждый интересен по своему. SSH на нестандартный порт и все,ты в «Домике»? Черви тебя не найдут? ну ну.

Горе-одмина уволить не хотите?

Претендуешь на место Одмина? Навешивая ярлыки с такой легкостью. 17 лет висит SSH на 22 порту на всех шлюзах, с доступом по ключу с парольной фразой, ломятся и пусть ломятся, надо же чем то червям и китайцам заниматься, даже черви быстро понимают, что им не светит.

некрасиво как то, ИМХО у всех свои цели и задачи и нет единственно правильного и верного решения как например твое, так что толерантнее, толерантнее.

с доступом по ключу с парольной фразой,

Пф. Надеюсь, вы таки понимаете, что парольная фраза защищает локальное хранилище секретного ключа, а не удалённую машину. :)

я таки думаю, чтоб ко мне прицепились черви или китайские товарищи по 22 порту, им необходимо поиметь мой ключ и знать парольную фразу к нему. Я не параноик.

я таки думаю, чтоб ко мне прицепились черви или китайские товарищи по 22 порту, им необходимо поиметь мой ключ и знать парольную фразу к нему.

Вы что-то странное думаете. Удаленная машина вообще не догадывается, есть у вас парольная фраза на ключе или нет. То есть вас могут безусловно проломить и по ошибке в ssh, но пароль на ключе защитит только другие машины, на которые злоумышленник полезет УЖЕ ПОТОМ, своровав ваш секретный ключ и наткнётся на пароль.

Чем от «воровства ключа» защитит ssh на не стандартном порту?

Вы что-то странное думаете. Удаленная машина вообще не догадывается, есть у вас парольная фраза на ключе или нет.

Естественно! она даже не понимает, почему ее отфутболили как только она сунула пароль. Растолкуйте, что я странно себе представляю?

могут безусловно проломить и по ошибке в ssh

Ну тут я могу только руками развести, на нас вот в 2013 метеорит упал думали невозможно, ан нет. А повесить на нестандартный порт, что поможет?

пароль на ключе защитит только другие машины

Я не понимаю какие другие? сначала надо проломиться ко мне на шлюз.А уж потом ломиться на станции виндовые к пользователям, они сами себе затащут червяка, трояна далее по списку....

своровав ваш секретный ключ и наткнётся на пароль.

Да где же он его сворует? я ключи просто так не разбрасываю, а уж парольную фразу даже агенту putty не даю.

ну все конечно возможно, но с какой вероясностью, и кому и что надо на моих шлюзах?

А вообще то разговор начался с того, что админ лох который, выставил голой ж... SSH на 22 порту и его надо уволить.

Вы тоже считаете, что перевесив обычный SSH с обычным парольным доступом (админ же лох) на высокий, секретный порт проблема будет решена?

Или мы просто общаемся? :)

Чем от «воровства ключа» защитит ssh на не стандартном порту?

присоединяюсь еще раз к вопросу

Чем от «воровства ключа» защитит ssh на не стандартном порту?

А почему я должен отвечать на этот дурацкий вопрос?

А почему я должен отвечать на этот дурацкий вопрос?

Ну вот, договорились... А почему вопорос то дурацкий? Впрочем отвечать конечно не должны.

Или мы просто общаемся?

А вы попытайтесь вникнуть что вам пишут, а не разговаривайте со своими мыслями в голове. Где я вообще хоть полслова ранее обмолвился о «стандарных портах»?

она даже не понимает, почему ее отфутболили как только она сунула пароль.

Чушь какая. Куда что сунуло? Ещё раз - пароль спрашивает локальный клиент ssh, а не удаленный сервер sshd. Пароль можно поменять, при этом ключ не меняется, это типа zip с паролем, не более того.

Спроси у админа как, зачем ты нас спрашиваешь, если мы не твой админ? Он там что-то мутил, пусть и объясняет.

Где я вообще хоть полслова ранее обмолвился о «стандарных портах»?

Понятно, нигде не обмолвились, значит не утверждаете, что высокие порты решат проблему. ОК на этом закончим.

А чего тогда встряли? Я так понял после вашего поста, что я не прав.

пароль спрашивает локальный клиент ssh, а не удаленный сервер sshd.

Блин мне надоело твое сплевывание через губу. мне по фиг кто и чего там спрашивает, я не студент тебе, чтоб сдавать экзамен по теории, я настроил свой сервак так, чтоб парольной авторизации по ssh не было вообще, только по ключу с парольной фразой.

Пароль можно поменять, при этом ключ не меняется

Пароль можно поменять, но речь идет о парольной фразе (разницу чувствуешь?) вводится при генерации ключа она унутри ключа. У пользователя этого пароль совсем другой. Меняй не хочу! хоть каждый день!но войти с ним можно тока на локаль.

что я не прав.

Именно. Я откоментировал, что ваше понимание о работе ssh с ключом и парольной фразой такое же кривое, как и у тех, кто говорит о смене портов.

ваше понимание о работе ssh с ключом и парольной фразой такое же кривое

В чем же кривота? расскажите как надо и как лучше всего я не претендую на истину в последней инстанции! чего я все Вас за язык то тащу!!! Как сделано у Вас? научите! ну или поделитесь хоть идеей, никто учить не обязан

В чем же кривота? расскажите о прямоте!

Вы скажите, с какого раза вы понимаете. С десятого? Чтобы сразу в одном сообщении ещё раз 6 написать, а то предыдущие 4 раза были похоже все бестолку.

Как сделано у Вас?

Вот видите. Где речь о «сделано»?

Вы скажите, с какого раза вы понимаете. С десятого?

Ну это смотря как говорить, так надменно сплевывая по непонятной фразе. Можно и с 10 не понять, а собеседника выставить тупизнем.

Вот видите. Где речь о «сделано»?

А чего тогда встревать, да еще так надменно? Раз у Вас не сделано ничего и идей нет.

Закончим. Приятных выходных!

Эээ, ну не отвечай, вот только атака на протокол или компрометация ключа ни как с номером порта не коррелирует.

nmap -p 22 0.0.0.0/0 говорит, что 99% интернета держат 22 порт открытым и ничего плохого в этом нет. Я использую SSH на своих серверах только на 22 порту и использую только пароли - полет нормальный. Главное запретить вход по ssh пользователю root, к которому пытаются подобрать пароль

ни как с номером порта не коррелирует.

А я говорил, что коррелирует?

Вообще, интересный у вас админ, который SSH по 22-му порту в Инет вываливает...

Всех портов не так много и найти где ссш тоже не так сложно. По паролю конечно не самый лучший вариант, только с ключем - уже будет лучше.

Еще лучше чтоб он был только в ВПН-сети, на этом можно и остановиться, чтоб не скатиться в абсолютную параною.

Еще лучше чтоб он был только в ВПН-сети

О, боже, откуда вы все такие берётесь. Вы в курсе, что в VPN (если оно конечно не ipsec) криптография не самое главное? VPN обеспечивает полноценный доступ ко внутренним ресурсам за счёт доступа ко внутренним адресам, а ssh - отдельный вход на конкретный сервис. Это ничем не лучше/хуже, это мухи и котлеты.

Ну так не только я один подумал. Ладно, проехали.

ВПН - это и криптография, и прозрачный доступ к внутренним ресурсам. Одно другому не мешает. Понятие ВПН де-факто уже значит, что соединение будет шифрованое. Но, да, незашифрованый ВПН тоже будет ВПНом

SSH на нестандартный порт и все,ты в «Домике»? Черви тебя не найдут?

Захотят - найдут. Радость в том, что не ищут. И уж точно, переход на нестандартный порт экономит туеву хучу траффика и ресурсов CPU сервера на более полезные нужды.

Претендуешь на место Одмина?

Нет, не претендую. У меня есть работа и она меня устраивает.

даже черви быстро понимают, что им не светит

Они этого никогда не понимают. Они получают список IP с открытыми 22-ми портами и «вечно» долбятся туда по зацикленной очереди. А если это ботнет, то долбятся ещё и всеми хостами ботнета по-очереди. И юзеров/пароли, как правило, они не подбирают перебором, а просто используют словарные слова типа «bob», «god», «apple» и т. д.

Не, ну реально? Оно тебе нужно?

А я никогда не вывешиваю консоли (что ssh, что RDP) по стандартным портам и экономлю этим сам себе кучу нервов. Я уж молчу о траффике и ресурсах CPU на отбивку непрошенных гостей.

Обычно делаю пробросом какой-нибудь 46821 порт с фронтенда на 22-й порт бэкэнда.

Из инета ходим куда надо по 46821-му порту, а в локалке или из VPNа - по нормальному 22-му. Дополнительный плюс в том, что мониторинг SSH в заббиксе переделывать не надо: внутри локалки он ходит по 22-му порту.

Не, ну реально? Оно тебе нужно?

Да нет, мне это не нужно. Уговорил, открыл SSH только на внутренней сетевушке, а iptables пробрасывает с внешней сетевухи 42322 порта на внутреннюю 22.

Но все равно считаю, что безопасности добавилось на ноль целых, хрен десятых процента.

Я уж молчу о траффике и ресурсах CPU на отбивку непрошенных гостей.

У меня не mail.ru и не миллионы пользователей. Трафик безлимитный давно, а CPU не сильно напрягается, я думаю, когда шлюз сообщает Invalid user, пользователь разрешен всего один и это не root конечно. Др пароля дело не доходит, ибо это запрещено.

А я никогда не вывешиваю консоли (что ssh, что RDP) по стандартным портам и экономлю этим сам себе кучу нервов.

RDP вообще не имеет право быть высунутым наружу, а нервы я и так не тратил на ботов.

Уговорил, открыл SSH

Да не слушайте вы его. Нестандартный порт и port-knocking помогает только если у вас куча машин с выставленным наружу ssh-ем, тогда поймав участника ботнета, вы можете внести в бан на всех тачках. А иначе нет никакого смысла пока вас целенаправленно не доссят.

Да не слушайте вы его.

Я же говорю не считаю, что это как то безопаснее, или хуже этот вариант, ну 17 лет было так, теперь 17 лет пусть будет по другому :)) (не доживу). Тем более, что по белому Ip я даже и не лазию, везде подняты VPN даже из дома микротиком и доступ не только к SSH, а к чему угодно, только по серым, локальным IP.

если у вас куча машин

3 шлюза и домашний микротик

Уговорил, открыл SSH только на внутренней сетевушке, а iptables пробрасывает с внешней сетевухи 42322 порта на внутреннюю 22

А какая разница между ссш на 42322 и перебросом с 42322 на 22 ссш? Только удобство использования внутри локальной сети?

А какая разница между ссш на 42322 и перебросом с 42322 на 22 ссш? Только удобство использования внутри локальной сети?

Да, в локалке все как было так и осталось. Только в настройках SSH ListenAdress прописал только внутренюю сетевушку.

Но все равно считаю, что безопасности добавилось на ноль целых, хрен десятых процента.

И очень зря так считаешь. Вот если к тебе теперь долбиться будут, повод задуматься: это боты порт «нашли» или кто-то целенаправленно именно к тебе копает.