SSH server in ascolto su porte multiple

Come mai un povero cristo dovrebbe aver bisogno di mettere il server SSH in ascolto su porte multiple? In realtà le ragioni potrebbero essere varie, ma facciamo un passo indietro per capire il motivo che mi riguarda.

Dopo aver pregato invano e a lungo innumerevoli santi e madonne, purtroppo la fattura elettronica è arrivata. Come c’era da aspettarsi, la pubblica amministrazione (o chi per essa) evidentemente ignora molte delle best practice di sicurezza, tra cui tenere ssh su una porta non standard per ridurre l’esposizione a port-scan e stronzi vari. Da ciò deriva che il loro client sftp sia impostato unicamente (non accetta parametri) sulla porta 22.

Premesso ciò, passo a descrivere come ottenere il risultato, dato che potrebbe essere utile ad altri programmatori/sistemisti, per risparmiare tempo e soprattutto “per il bene della chiesa” (cit.). Iniziamo!

Prima di tutto, per precauzione, apritevi almeno altre 2 shell, loggatevi al server su cui volete modificare la configurazione di sshd, e diventate root! Non si sa mai che facciate qualche errore e vi chiudiate fuori, creandovi problemi ancora peggiori (poi non dite che non vi ho avvisato).

Aprire /etc/ssh/sshd_config e duplicare la riga dove c’è scritta la porta, ad es:

Port 22
Port 12345 (supponendo che questa sia la porta non standard in uso)

Salvare e testare la configurazione:

sshd -t

Se non c’è alcun output vuol dire che è la configurazione è corretta, quindi si può procedere a riavviare il demone sshd con:

service sshd restart

A questo punto dovrete aprire la porta 22 anche sul firewall (spero ne abbiate uno), limitatamente agli ip del client dello SdI (di cui non citerò gli ip reali, chi vuole li cerchi in internet), utilizzando i comandi (prendiamo ad esempio il firewall ufw):

ufw allow from 111.222.111.222 to any port 22
ufw allow from 222.111.222.111 to any port 22
ufw allow from tuo.ip.di.test to any port 22
[ecc…]

Fatto? Ora, se avete fatto tutto bene, potete connettervi alla porta 22 usando il tuo.ip.di.test, per verificare il corretto funzionamento.

Buon anno!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.