Mover para outro lugar a porta, a partir da qual o servidor SSH recebe conexões, é uma medida muito simples e eficiente para evitar ataques.
Qualquer cracker sabe que a porta padrão (default listening port) é a 22.
É a partir daí que um ataque de força bruta começa a contar.
Se o invasor não conseguir encontrar a porta de entrada, nos primeiros segundos da sua operação, ele pode desistir e passar para o próximo servidor da sua lista de vítimas.
Esta é uma das táticas de segurança por obscuridade. Em outras palavras, estamos apenas “mudando a porta de lugar” — não se trata de fortalecer a segurança, portanto.
Este método traz 2 problemas que convém levar em conta, antes de colocar em prática:
- se você esquecer onde colocou “a porta”, pode acabar trancado do lado de fora.
- certifique-se de usar uma porta que não esteja sendo usada por outro serviço ou daemon ou que já seja popularmente usado.
Se estes dois itens não forem problemáticos para você, prossiga com a configuração (que é muito simples).
Você pode obter uma lista de portas em uso (ou não) no sistema, dentro do arquivo ‘/etc/services’:
less /etc/services
Sugiro usar o nmap, se quiser obter uma relação mais completa, contudo.
Como editar o arquivo de configuração do servidor SSH
O procedimento trata de editar o arquivo de configuração do servidor SSH que costuma ficar em ‘/etc/ssh/’.
Use o seu editor favorito para abrir o arquivo ‘/etc/ssh/sshd_config’:
# comece com um backup:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original
sudo editor /etc/ssh/sshd_config
Localize a linha que define o ‘Port’ e mude o número para o que achar melhor.
Port 1234
Feito isto, grave o arquivo e saia.
Pode ser interessante anotar a nova porta usada em alguma folha de papel.
Para que as mudanças surtam efeito, reinicie o servidor SSH:
sudo service sshd restart
ou
sudo /etc/init.d/sshd restart
Seja cautelosa(o), agora.
Não desautentique da máquina, simplesmente, para testar.
Se houver problemas com os ajustes, você pode ficar trancado do lado de fora — como mencionei anteriormente.
O mais seguro é abrir um novo terminal para testar a conexão sob uma nova porta.
Se algo deu errado, copie de volta o arquivo de configuração, para verificar exatamente qual foi o problema.
Uma das possibilidades que podem atrapalhar que você consiga se autenticar via SSH, por outra porta, é a configuração do seu firewall.
Neste caso, cabe adequar a configuração do firewall aos ajustes que você fez ao sshd.
Depois disto, tente de novo.
[blog_subscription_form]
2 replies on “Altere a porta de entrada do servidor SSH como medida de segurança”
Artigo muito bem feito e bem interessante. Confesso que desde que comecei a gerenciar um servidor venho pensando em trocar as portas padrões tanto ssh quanto a do banco de dados. Mas minha dúvida é a seguinte, se o atacante não achou a porta 22 basta ele rodar um port scan que ele irá ver quais as portas abertas.
Não seria melhorar liberar acesso externo para um determinado IP no firewall para a porta 22 do que trocar a porta?
Abraços!
Provavelmente, sim.