Bonjour à tous
Est-il possible de changer le port d'ecoute de SSH ? Je dois changer le port car à mon boulot notre firewall (un Astaro sur lequel je ne peux pas intervenir) bloque le 222 d'Ipcop.
J'ai tenté la modif du fichier sshd_config en rajoutant un port mais au mieux ça ne fonctionne pas et au pire sa bloque aussi le 222.
Qqun à une idée ?
Changer le port d'ecoute de SSHD
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Changer le port d'ecoute de SSHD
par ipcop2005 » 14 Jan 2005 01:22
- ipcop2005
- Second Maître
- Messages: 40
- Inscrit le: 05 Jan 2005 09:30
par ipcop2005 » 14 Jan 2005 15:01
Merci jdh
Mais pourquoi lorsque je rajoute un port d'ecoute celui d'origine ne fonctionne plus , je laisse 222 donc les regles iptables si raportants doivent toujours etres valables, or là le serveur ssh ne fonctionne plus.
La syntaxe est bien là suivante :
Port 222,xxx
où xxx=autre numero de port
Je precise aussi que des que je remet le fichier dans sa config d'origine 1 port 222 à l'ecoute tout refonctionne de nouveau.
Mais pourquoi lorsque je rajoute un port d'ecoute celui d'origine ne fonctionne plus , je laisse 222 donc les regles iptables si raportants doivent toujours etres valables, or là le serveur ssh ne fonctionne plus.
La syntaxe est bien là suivante :
Port 222,xxx
où xxx=autre numero de port
Je precise aussi que des que je remet le fichier dans sa config d'origine 1 port 222 à l'ecoute tout refonctionne de nouveau.
- ipcop2005
- Second Maître
- Messages: 40
- Inscrit le: 05 Jan 2005 09:30
par ipcop2005 » 16 Jan 2005 13:08
Effectivement la syntaxe est bien du type :
Port xxx
Port yyy
....
J'ai donc essaye avec des nouveaux ports et cela marche si ceux ci sont eleves (ex: 4545,5000....) je sais qu'il y a une restriction sur les ports "systemes" qui ne peuvent etres utilises que par root mais lorsque je fais un ps aux le serveur ssh appartient bien aà root je pige pas.
L'idée est qu'au travail j'utilise putty sur le port 80 à cause du FW de mon job pour cela il faut bien que mon sshd tourne sur 80 et bien ça ne marche pas.
Je precise que je n'ais eu a rajoutter aucune regle iptables pour que les ports "hauts" fonctionnent, j'ai même testé le port 80 avec un coup /etc/rc.d/firewall stop sans resultat.
Help please
Port xxx
Port yyy
....
J'ai donc essaye avec des nouveaux ports et cela marche si ceux ci sont eleves (ex: 4545,5000....) je sais qu'il y a une restriction sur les ports "systemes" qui ne peuvent etres utilises que par root mais lorsque je fais un ps aux le serveur ssh appartient bien aà root je pige pas.
L'idée est qu'au travail j'utilise putty sur le port 80 à cause du FW de mon job pour cela il faut bien que mon sshd tourne sur 80 et bien ça ne marche pas.
Je precise que je n'ais eu a rajoutter aucune regle iptables pour que les ports "hauts" fonctionnent, j'ai même testé le port 80 avec un coup /etc/rc.d/firewall stop sans resultat.
Help please
- ipcop2005
- Second Maître
- Messages: 40
- Inscrit le: 05 Jan 2005 09:30
par jdh » 16 Jan 2005 16:23
Le daemon sshd est lancé par root donc c'est parfaitement logique !
Traditionnellement (et peut-être pratiquement), les ports de 1 à 1024 sont destinés à root. Ou plutôt, les ports au delà de 1024 peuvent être utilisés par des pgms (daemon) sous une identité utilisateur (différente de root).
Traditionnellement (et peut-être pratiquement), les ports de 1 à 1024 sont destinés à root. Ou plutôt, les ports au delà de 1024 peuvent être utilisés par des pgms (daemon) sous une identité utilisateur (différente de root).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par poudre » 16 Jan 2005 20:32
Bonjour,
Le port 80 n'est pas utilisé par un autre deamon ? J'ai aussi changé le port d'écoute de ssh (pour une valeur inférieure à 1024) sans problème, ensuite j'ai ouvert ce même port sur le firewall de manière à pouvoir l'atteindre depuis Internet.
Pascal.
Le port 80 n'est pas utilisé par un autre deamon ? J'ai aussi changé le port d'écoute de ssh (pour une valeur inférieure à 1024) sans problème, ensuite j'ai ouvert ce même port sur le firewall de manière à pouvoir l'atteindre depuis Internet.
Pascal.
- poudre
- Enseigne de vaisseau
- Messages: 159
- Inscrit le: 21 Nov 2003 01:00
par jdh » 17 Jan 2005 01:31
J'ai écrit "traditionnellement".
root est le propriétaire "normal" des pgms qui écoutent un port <1024 (en anglais un daemon).
Il est clair que pour un tel pgm, s'éxecutant sous l'identité root, une faille donne les droits root sur la machine.
Un certain nombre de pgm de qualité, tel Apache (port 80), Proftpd (port 20-21), ou bien d'autres, s'attachent à quitter très vite après le lancement cette identité root. Par exemple, c'est le rôle de la directive "User" (et "Group") dans le fichier de conf d'Apache (httpd.conf).
On peut aussi créer un environnement "virtuel" appelé "chroot" (ou "cage" en français) qui limite les pgms présents dans la (fausse) arborescence / ainsi crée. (Encore qu'il parait qu'il y a moyen de sortie de la "cage" ;=).
root est le propriétaire "normal" des pgms qui écoutent un port <1024 (en anglais un daemon).
Il est clair que pour un tel pgm, s'éxecutant sous l'identité root, une faille donne les droits root sur la machine.
Un certain nombre de pgm de qualité, tel Apache (port 80), Proftpd (port 20-21), ou bien d'autres, s'attachent à quitter très vite après le lancement cette identité root. Par exemple, c'est le rôle de la directive "User" (et "Group") dans le fichier de conf d'Apache (httpd.conf).
On peut aussi créer un environnement "virtuel" appelé "chroot" (ou "cage" en français) qui limite les pgms présents dans la (fausse) arborescence / ainsi crée. (Encore qu'il parait qu'il y a moyen de sortie de la "cage" ;=).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
9 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité