Hace un tiempo expliqué cómo configurar el servicio SSH para que funcione por un puerto diferente del 22, que es el puerto por default. El objetivo de esto era que todos los bots, ataques de cracking al SSH son por defecto al puerto 22 (que repito, es el de por default), por lo que al cambiar el puerto obtendremos más seguridad.
Pero, ¿qué hacer si deseo configurar el SSH por otro puerto PERO manteniendo el SSH también en el puerto 22? O sea, tener la necesidad de que el servidor tenga SSH en más de un puerto, digamos por ejemplo en el 22 y además en el 9122
Para ello modificamos el archivo de configuración del daemon SSH:
nano /etc/ssh/sshd_config
Ahí veremos algo como esto:
Verán que en la línea 5 hay algo que dice: «Port 22», pues bien, simplemente debemos duplicar esa línea abajo y cambiar el número del puerto. O sea, para que nuestro servicio SSH también funcione por el 9122 debemos dejarlo así:
Luego debemos reiniciar el servicio:
service ssh restart
Si usan Arch sería:
systemctl restart sshd
Cuando deseen conectarse por un puerto diferente al 22 recuerden, deben agregar -p $PUERTO en la línea de conexión, algo así:
ssh usuario@servidor -p 9122
Por cierto, les recomiendo revisar el archivo sshd_config de antes, hay unas opciones muy interesantes 😉
Saludos
Buen tips eso de cambiar el puerto por defecto de ssh…para prevenir los ataques al puerto 22.
creo que se debe dejar solo un puerto ..y este tiene que ser diferente al 22 para que los ataques no surtan efectos.
saludos
Gracias por leernos 🙂
Mis últimos hallazgos han sido:
PermitRootLogin no
y
AllowUsers john jack chester …. etc
Con esto limito bastante las posiblidades de cracking, si le sumas un buen iptables… pues ya estamos.
De hecho, yo prefiero usar PortKnocking 😀
Como siempre KZKG^Gaara, excelentes tus artículos sobre SSH. Con tus guias vamos perdiendo el miedo a la TERMINAL
Gracias 🙂
OOOOOOOOhhhh!!!!
Muy buen artículo, salvaje !!!
Aparte de cambiar el número de puerto, para limitar un poco más las opciones del atacante también es recomendable inhabilitar el login con USER:PASS
PasswordAuthentication no
y utilizar autenticación por llave privada / pública.
Buen post.
Salu2