2008-11-28

Genom att byta port för ssh slipper man en massa tröttsamma probningar men kan råka ut för att verktyg inte tillåter en annan port än 22

Om man är less på alla ssh-inloggningsförsök kan man helt enkelt byta port för ssh. Det hindrar de allra flesta intrångsförsök; även om en angripare kan scanna portar är det ytterst få som faktiskt gör det – de allra flesta bara hamrar på port 22.

Att byta port är rätt enkelt, så här gör man i Mac OS X 10.5:

1. Stoppa ssh: sudo service ssh stop
2. Bestäm vilken port du skall använda i stället. Väldigt många portar är redan upptagna (på www.iana.org/assignments/port-numbers finns en lista över alla) så det finns en stor risk att den du vill använda redan är tagen. Bara du vet om det är det ok. Jag valde 3211 (de sista siffrorna i universitetets organisationsnummer)
3. Editera filen /etc/services: sudo vi /etc/services. Byt ut 22 för ssh mot det portnummer du har valt (3211 i mitt fall)
4. Starta ssh igen: sudo service ssh start
5. Kontrollera från en annan maskin: telnet din-dator 3211. Du bör då få det här:
   telnet din-dator 3211
Trying 130.235.16.211...
Connected to din-dator.cs.lth.se (130.235.16.211).
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1

Att komma ihåg är att denna standardport även blir gällande för utgående ssh-förbindelser! Detta löses enklast med ett alias i .profile e.dyl.:
alias ssh='ssh -p 22'