Seguridad

Cómo configurar SSH para usar puertos no estándar y configurar SELinux para aplicar

Cambiar el puerto de escucha SSH es una manera fácil de ayudar en los inicios de sesión remotos seguros en servidores Linux. Pero cuando se trata de SELinux, debe tomar algunos pasos adicionales. Jack Warren te dice cómo.

Informes de seguridad de lectura obligada

SSH tiene muchos trucos de seguridad, uno de los cuales es configurar el servicio para usar puertos no estándar. SSH listo para usar usa el puerto 22. Si desea una manera fácil de frustrar posibles intentos de piratería, puede configurar el servicio para usar un puerto diferente, digamos 33000.

VER: Política de respuesta a incidentes de seguridad (Tecnopedia Premium)

En las distribuciones de Linux que no usan SELinux, este proceso es muy simple. Sin embargo, si SELinux está involucrado, no puede simplemente cambiar el puerto sin dejar que el sistema de seguridad conozca su pequeño secreto.

Eso es exactamente lo que estoy haciendo aquí, configurar Fedora 35 para usar el puerto 33000 para el tráfico SSH entrante. El mismo proceso se aplica a cualquier distribución de Linux que use SELinux (como RHEL, Alma Linux y Rocky Linux).

Dicho esto, manos a la obra.

Qué necesitas

Para realizar este cambio, necesita una instancia en ejecución de una distribución de Linux que incluya SELinux, un servidor SSH instalado y un usuario con acceso a sudo.

LEER  La solución biométrica TrulySecure identifica a los usuarios que usan máscaras

Cómo cambiar el puerto SSH predeterminado

Lo primero que haremos será cambiar el puerto predeterminado que usa SSH, que se encuentra en el archivo sshd_config. Abra el archivo para editarlo con el siguiente comando:

sudo nano /etc/ssh/sshd_config

En ese archivo, busque la siguiente línea:

# puerto 22

Cambia esa línea a:

puerto 33000

Guarde y cierre el archivo.

No reinicie el demonio todavía, porque primero tenemos que lidiar con SELinux.

Cómo notificar cambios a SELinux

Lo primero que hacemos es verificar para asegurarnos de que SELinux conozca SSH. Emita el comando:

sudo administrador puerto -l | grep ssh

Deberías ver en la lista:

ssh_port_t TCP 22

Entonces SELinux permite el tráfico SSH al puerto 22. Cambiaremos esto a 33000 con el siguiente comando:

sudo semanage port -a -t ssh_port_t -p tcp 33000

Ahora, si verificamos qué puerto se está utilizando, debería devolverse como:

ssh_port_t TCP 33000, 22

Aunque SELinux permite el puerto 22, SSH no escucha en ese puerto, por lo que esto no es un problema.

Cómo abrir el firewall al puerto 33000

A continuación, debemos abrir el firewall para permitir el tráfico SSH en el puerto 33000. Para hacer esto, emitimos el comando:

sudo firewall-cmd –add-port=33000/tcp –permanente

A continuación, vuelva a cargar el cortafuegos:

sudo firewall-cmd –recargar

A continuación, deshabilitaremos el puerto SSH estándar a través del firewall:

sudo firewall-cmd –remove-service=ssh –permanente

Nuevamente, recarga el firewall:

sudo firewall-cmd –recargar

Cómo reiniciar el demonio SSH e iniciar sesión

Ahora podemos reiniciar el demonio SSH:

sudo systemctl reiniciar sshd

Inicie sesión en el servidor recién configurado con el siguiente comando:

ssh USUARIO@SERVIDOR -p 33000

donde USUARIO es el nombre de usuario remoto y SERVIDOR es la dirección IP (o dominio) del servidor remoto.

Así es como se configura SSH para usar puertos no estándar en distribuciones de Linux que usan SELinux. Debería considerar cambiar todos los servidores para usar un puerto no estándar para el servicio SSH. Cuando combina esto con otros trucos de fortalecimiento de SSH, puede hacer mucho para evitar que usuarios no deseados accedan a su servidor.

Suscríbete a Tecnopedia Cómo hacer que la tecnología funcione en YouTube Obtenga los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Como configurar SSH para usar puertos no estandar y configurar
Imagen: Funtap/Shutterstock

LEER  ¿Alguna vez has intentado adivinar la contraseña de tu jefe?Según los informes, muchos trabajadores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba