SSH 协议端口号 22 背后的故事
Linux爱好者

英文:Tatu Ylonen    编译:Linux中国/kenxx
https://linux.cn/article-8476-1.html

为什么 SSH(安全终端)的端口号是 22 呢,这不是一个巧合,这其中有个我(Tatu Ylonen,SSH 协议的设计者)未曾诉说的故事。

将 SSH 协议端口号设为 22 的故事

1995 年春我编写了 SSH 协议的最初版本,那时候 telnet 和 FTP 正被广泛使用。

当时我设计 SSH 协议想着是为了替代 telnet(端口 23)和 ftp(端口21)两个协议的,而端口 22 是空闲的。我想当然地就选择了夹在 telnet 和 ftp 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢?我未曾拥有过任何一个端口号,但我却认识几个拥有端口号的人!

在那时取得端口号的事情其实说来挺简单的。毕竟当时的因特网(Internet)并不是很大,是因特网爆炸的早期。端口号分配的活儿是 IANA(Internet Assigned Numbers Authority,互联网数字分配机构)干的。在那时这机构可相当于是因特网先驱 Jon Postel 和 Joyce K. Reynolds 一般的存在。Jon 参与编写了多项主要的协议标准,例如 IP(RFC 791)、ICMP(RFC 792)和 TCP(RFC 793)等一些你应该早有耳闻的协议。

我可以说是敬畏 Jon 先生的,他参与编写了几乎所有主要的因特网标准文档(Internet RFC)!

1995 年 7 月,就在我发布 ssh-1.0 前,我发送了一封邮件给 IANA:

From ylo Mon Jul 10 11:45:48 +0300 1995
From: Tatu Ylonen
To: Internet Assigned Numbers Authority
Subject: 请求取得一个端口号
Organization: 芬兰赫尔辛基理工大学亲爱的机构成员:我写了个可以在不安全的网络环境中安全地从一台机器登录到另一台机器的程序。它主要是对现有的 telnet 协议以及 rlogin 协议的功能性提升和安全性改进。说的具体些,就是可以防御 IP、DNS 或路由等欺骗行为。我打算将我的软件免费地发布在因特网上,以得到广泛地使用。我希望为该软件注册一个特权端口号,要是这个端口号在 1 到 255 之间就更好了,这样它就可以用在名字服务器的 WKS 字段中了。我在附件中附上了协议标准的草案。这个软件已经在本地运行了几个月了,我已准备在获得端口号后就发布。如果端口号分配一事安排的及时,我希望这周就将要发布的软件准备好。我目前在 beta 版测试时使用的端口号是 22,如果要是能够分配到这个端口,我就不用做什么更改了(目前这个端口在列表中还是空闲的)。软件中服务的名称叫 ssh(系 Secure Shell 的缩写)。您最真诚的,Tatu Ylonen

(LCTT 译注:DNS 协议中的 WKS 记录类型意即“众所周知的业务描述”,是类似于 A、MX 这样的 DNS 记录类型,用于描述某个 IP 所提供的服务,目前鲜见使用。参见: https://docs.oracle.com/cd/E19683-01/806-4077/dnsintro-154/index.html 。)

第二天,我就收到了 Joyce 发来的邮件:

Date: Mon, 10 Jul 1995 15:35:33 -0700
From: jkrey@ISI.EDU
To: ylo@cs.hut.fi
Subject: 回复:请求取得一个端口号
Cc: iana@ISI.EDUTatu,我们将端口号 22 分配给 ssh 服务了,你目前是该服务的主要联系人。Joyce

这就搞定了!SSH 的端口正式使用 22!!!

1995 年 7 月 12 日上午 2 点 21 分,我给我在赫尔辛基理工大学的测试者们宣布了 SSH 的最后 beta 版本。当日下午 5 点 23 分,我给测试者们宣布了 ssh-1.0.0 版本。1995 年 7 月 12 日,下午 5 点 51 分,我将一份 SSH(安全终端)的宣告发给了 cypherpunks@toad.com 的邮件列表,此外我还将其发给了一些新闻组、邮件列表和一些在因特网上讨论相关话题的人们。

如何更改 SSH 服务的端口号

SSH 服务器是默认运行在 22 号端口上的。然而,由于某些原因需要,它也可以运行在别的端口上。比如为了方便测试使用,又比如在同一个宿主机上运行多个不同的配置。当然,极少情况下,不使用 root 权限运行它也可以,比如某些必须运行在非特权的端口的情况(端口号大于等于 1024)。

端口号可以在配置文件 /etc/ssh/sshd_config 中将 Port 22 更改。也可以使用 -p 选项运行 sshd。SSH 客户端和 sftp 程序也可以使用 -p 选项。

配置 SSH 协议穿越防火墙

SSH 是少数通常被许可穿越防火墙的协议之一。通常的做法是不限制出站的 SSH 连接,尤其常见于一些较小的或者比较技术型的组织中,而入站的 SSH 连接通常会限制到一台或者是少数几台服务器上。

出站的 SSH 连接

在防火墙中配置出站的 SSH 连接十分简单。如果完全限制了外发连接,那么只需要创建一个允许 TCP 端口 22 可以外发的规则即可。如果你想限制目标地址,你可以限制该规则仅允许访问你的组织放在云端的外部服务器或保护该云端的跳板服务器即可。

反向通道是有风险的

其实不限制出站的 SSH 连接虽然是可以的,但是是存在风险的,SSH 协议是支持 通道访问 的。最初的想法是在外部服务器搭建一个 SSH 服务监听来自各处的连接,将进入的连接转发到组织,并让这个连接可以访问某个内部服务器。

在某些场景下这当然非常的方便。开发者和系统管理员经常使用它打开一个通道以便于他们可以远程访问,比如在家里或者在旅行中使用笔记本电脑等场景。

然而通常来讲这些做法是违背安全策略的,跳过了防火墙管理员和安全团队保护的控制无疑是违背安全策略的,比如这些: PCI、HIPAA、NIST SP 800-53 等。它可以被黑客和外国情报机构用来在组织内留下后门。

CryptoAuditor 是一款可以控制通道穿过防火墙或者一组云端服务器入口的产品。该款产品可以配合 通用 SSH 密钥管理器(Universal SSH Key Manager) 来获得对 主机密钥(host keys)的访问,以在启用防火墙并阻挡未授权转发的场景中解密 SSH 会话。

入站的 SSH 访问

对于入站访问而言,这里有几点需要说一下:

配置防火墙,并转发所有去往 22 端口的连接只能流向到一个特定的内部网络 IP 地址或者一个 DMZ 主机。在该 IP 上运行 CryptoAuditor 或者跳板机来控制和审查所有访问该组织的连接。在防火墙上使用不同的端口访问不同的服务器。只允许使用 IPsec 协议这样的 VPN(虚拟专用网)登录后连接 SSH 服务。

通过 iptables 服务限制 SSH 访问

iptables 是一款内建在 Linux 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。

如果服务器上启用了 iptables,使用下面的命令将可以允许进入的 SSH 访问,当然命令需要以 root 身份运行。

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

如果你想将上述命令创建的规则持久地保存,在某些系统版本中,可使用如下命令:

service iptables save

SSH 协议端口号 22 背后的故事相关推荐

  1. linux centos 7.6修改ssh默认端口号

    1.端口号的概念:众所周知,现在计算机主流的通信协议是TCP/IP四层协议,而传输层就位于三层:传输层提供了面向连接的可靠性传输(TCP)和面向无连接的不可靠传输(UDP):传输层之间的传递靠的就是端 ...

  2. 禁止root远程登录及修改ssh默认端口号

    2019独角兽企业重金招聘Python工程师标准>>> 注:     系统版本:CentOS release 6.9 (Final)     连接工具:xshell     虚拟机: ...

  3. ldap协议端口号_什么是LDAP协议端口号? 比较LDAP端口389和636

    ldap协议端口号 Lightweight Directory Access Protocol or LDAP is used to authenticate and authorize users. ...

  4. ntp协议端口号_Linux本地系统的NTP端口号和配置教程

    ntp协议端口号 NTP is a core protocol used today's IT infrastructure to synchronize date and time informat ...

  5. Gmail,Qmail,163等邮件服务器SMTP、IMAP、POP3、地址及SSL/非SSL协议端口号

    最近项目需要给后台发送邮件,将项目中部分信息与后台同步,于是就有了这篇博客: 以下的内容是参考网上的例子加上自己实践总结了一下. 邮箱默认配置 服务器名称 服务器地址 SSL协议端口号 非SSL协议端 ...

  6. linux 7 打开22端口号,Centos 7 修改 SSH 默认端口号

    为了增强服务器的网络安全,我们增加了服务器的云安全中心企业版,同时我们修改 SSH 的默认端口号 Linux 服务器的 SSH 默认端口号为 22 ,大家都使用这个默认的端口号,虽说方便,但是也增加了 ...

  7. centos 修改ssh默认端口号

    linux服务器一般默认的ssh端口号都为22,所以在大部分的使用者手中出于安全考虑就需要修改ssh的默认端口号,下面为为修改ssh默认端口号方法 一:修改/etc/ssh/sshd_config配置 ...

  8. linux修改ssh登陆端口号,Linux 6 修改ssh默认远程端口号的操作步骤

    linux 默认的ssh远程端口是22,有时默认端口会遭到别有用心的人们扫描或攻击,为了时我们的系统更加安全那就需要修改远程端口号 操作步骤: 1.修改ssh_config配置文件 vim /etc/ ...

  9. redhat 添加ssh端口_RHEL 7修改ssh默认端口号

    RHEL7修改默认端口号(默认port22)初次安装系统完毕后默认情况下系统已经启动了sshd服务当然我们也可以先进行检查: 步骤1,检查是否已安装ssh服务 步骤2,检查服务是否已开启 如上图所示显 ...

  10. linux怎么修改sftp默认端口,CentOS 6.5/6.6修改SSH默认端口号

    CentOS 6.5/6.6修改SSH默认端口号 先查看下服务器端口号范围: # sysctl -a|grep ip_local_port_range net.ipv4.ip_local_port_r ...

最新文章

  1. html文件显示不了box,Workbox.js registerNavigationRoute找不到/加载html文件
  2. (十六)spring cloud微服务分布式云架构-集成项目简介
  3. [Elasticsearch] 全文搜索 (一) - 基础概念和match查询
  4. mysql 12安装教程下载_MySQL 8.0.12.0安装教程
  5. mysql开启布隆过滤器_海量数据去重之布隆过滤器
  6. CSRF:跨站请求伪造
  7. C++11 新关键字
  8. 【Computer Organization笔记25】I/O:程序直接控制,程序中断方式,直接存储访问(DMA),通道控制方式
  9. 基于java的教材管理_基于JAVA Web教材管理系统设计与实现.doc
  10. 用eclipse创建Java项目(以一个初学者的角度全面教学)
  11. 计算机无法检测电池损耗怎么办,笔记本电脑电池损耗怎么修复 笔记本电脑电池损耗修复方法...
  12. 未来世界的幸存者-阮一峰
  13. HTML 中划线 、 下划线 、上划线
  14. Unity3d程序必备的几种设计模式
  15. 密码学常用工具,作图
  16. 为什么要参加hadoop培训
  17. hao123劫持浏览器主页
  18. 李沐d2l 环境安装
  19. Android 仿微信语音录音小控件
  20. 英特尔微软强强联手开发智能广告技术

热门文章

  1. 2016-7-3 linux学习笔记
  2. 如何在CHROME里调试前端代码?
  3. 肉肉好走,愿你在异界依旧快乐活泼
  4. cocoapods 总结
  5. 使用webclient上传下载实例
  6. Windows 2003 + ISA 2006+单网卡×××配置(3)
  7. CentOS7防火墙之firewalld
  8. 推荐系统-协同过滤原理与实现
  9. C Primer Plus 第6版第二章的作业
  10. Linux命令(压缩,解压rar)