ฉันยังใหม่กับการประมวลผลแบบคลาวด์และวางแผนที่จะใช้บริการประมวลผลฟรีตลอดเวลาจาก Oracle Cloud เพื่อรับที่อยู่ IP สาธารณะเพื่อเรียกใช้เว็บไซต์ ตามมาตรการรักษาความปลอดภัยขั้นพื้นฐาน ฉันต้องการให้เครื่องของฉันไม่ฟัง SSH บนพอร์ตเริ่มต้น 22 เนื่องจากวิธีนี้ง่ายเกินไปที่จะดมกลิ่น แต่สลับไปยังพอร์ตใหม่ที่ฉันจะเก็บเป็นความลับ แต่ฉันจะเรียกว่า NEWSSHPORT นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อใช้ที่อยู่ IP สาธารณะ ปัญหาของฉันคือหลังจากที่ฉัน ssh เข้าไปในเครื่องแล้ว ฉันยืนยันว่าไฟร์วอลล์ (โดยค่าเริ่มต้น) หยุดทำงาน และอนุญาตให้รับส่งข้อมูลทั้งหมดเข้ามาได้ และพอร์ต NEWSSHPORT ที่ฉันเลือกไว้ไม่ได้ถูกใช้งานโดยบริการอื่นใด ฉันเปลี่ยนพอร์ตการฟังเป็นพอร์ตใหม่ รีบูตบริการ ssh ตรวจสอบว่าฉันมีกฎขาเข้าที่อนุญาตการรับส่งข้อมูลนี้ในเว็บไซต์ oracle cloud สำหรับซับเน็ตของฉัน ฉันพยายาม ssh โดยใช้พอร์ตใหม่และหมดเวลาเหมือนกับพอร์ตอื่นๆ พอร์ตเริ่มต้น 22 จะให้การเชื่อมต่อที่ถูกปฏิเสธแทน
คำถามนี้คล้ายกับแต่ไม่เหมือนกับ: การเปลี่ยนพอร์ต ssh ทำให้ปฏิเสธการเชื่อมต่อ
ฉันพลาดอะไรไป
สร้างอินสแตนซ์การคำนวณ: ตำแหน่งเริ่มต้น รูปภาพ: Canonical Ubuntu 18.04 รูปร่าง: VM.Standard.A1.Flex 4 Core OCPU, หน่วยความจำ 24 GB เครือข่ายเริ่มต้น บันทึกคีย์ ssh ส่วนตัว ปริมาณหนังสือเริ่มต้น สร้างอินสแตนซ์
รอให้มีการจัดสรร คัดลอกที่อยู่ IP สาธารณะ: 1.2.3.4
SSH เป็นพอร์ตเริ่มต้น 22
ssh -i C:\path\to\saved\key\ssh-key-2021-12-14.key -p 22 [email protected]
ลายนิ้วมือ ECDSA ใหม่ บันทึกมัน? ใช่ SSH ได้สำเร็จ
บนเครื่อง: ตรวจสอบไฟร์วอลล์
สถานะ $ sudo ufw
ไม่ใช้งาน (หมายความว่าทราฟฟิกทั้งหมดสามารถผ่านได้)
ตรวจสอบว่าพอร์ตใดที่ใช้งานอยู่:
UDP *:111
UDP *:932
TCP *:111 (ฟัง)
UDP *:111
UDP *:932
TCP *:111 (ฟัง)
UDP :68
UDP :53
UDP :53
UDP :53 (ฟัง)
TCP :22 (ฟัง)
TCP :22 (ฟัง)
:22 -> mypc:myport (การเชื่อมต่อ ssh ของฉัน)
พอร์ตที่ฉันต้องการฟังบน SSH เปิดอยู่/ไม่ได้ใช้งานโดยโปรแกรมอื่น
เปลี่ยนพอร์ตการฟัง ssh และตั้งค่าเป็นจำนวนเต็มพอร์ตที่ต้องการฉันจะเก็บจำนวนเต็มนี้เป็นส่วนตัวด้วยเหตุผลด้านความปลอดภัย แต่ฉันจะแสดงหมายเลขของเขาด้วยสตริง: NEWSSHPORT
$ sudo vi /etc/ssh/sshd_config
ท่าเรือ NEWSSHPORT
เริ่มบริการ ssh ใหม่
$ sudo systemctl รีสตาร์ท sshd
ตรวจสอบว่า ssh กำลังฟัง NEWSSHPORT ใหม่นี้:
$ sudo lsof -i -P -n
ตอนนี้มีอยู่:
sshd root IPv4 TCP *:NEWSSHPORT (ฟัง)
sshd root IPv6 TCP *:NEWSSHPORT (ฟัง)
ตรวจสอบอีกครั้งว่าไฟร์วอลล์ยังไม่ออนไลน์:
สถานะ $ sudo ufw
สถานะ: ไม่ได้ใช้งาน
ดังนั้นจึงได้รับการยืนยันว่าไฟร์วอลล์ไม่ได้เปิดอยู่ ดังนั้นจึงอนุญาตให้ทุกอย่างผ่านได้ ได้รับการยืนยันแล้วว่า ssh กำลังรับฟังพอร์ตใหม่: NEWSSHPORT ทั้งบน IPv4 และ IPv6 สำหรับทราฟฟิก TCP
ออกจากเครื่อง:
$ ทางออก
ตรวจสอบเครือข่ายย่อยของคลาวด์ Oracle ที่อนุญาตให้รับส่งข้อมูลในพอร์ตใหม่ของคุณ: ไปที่อินสแตนซ์การคำนวณ > แท็บข้อมูลอินสแตนซ์ > VNIC หลัก > คลิกที่ลิงก์เครือข่ายย่อยเพื่อดูเครือข่ายย่อย รายการความปลอดภัย > รายการความปลอดภัยเริ่มต้น คลิกที่มัน ตรวจสอบว่า NEWSSHPORT มีกฎขาเข้าสำหรับ IP 0.0.0.0/0 ซึ่งเป็นรูปแบบ CIDR สำหรับที่อยู่ IP ที่เป็นไปได้ทั้งหมด กฎการเข้าปัจจุบันของฉัน: ไร้สัญชาติ: ไม่ แหล่งที่มา: 0.0.0.0/0 ช่วงพอร์ตต้นทาง TCP: ทั้งหมด ช่วงพอร์ตปลายทาง: NEWSSHPORT ประเภทและรหัส: ฉันเว้นว่างไว้ โอเค ดังนั้นการรับส่งข้อมูลบนพอร์ตใหม่ของคุณควรได้รับอนุญาต
ช่วงเวลาแห่งความจริง:
ssh -i C:\path\to\saved\key\ssh-key-2021-12-14.key -p NEWSSHPORT [email protected]
ssh: เชื่อมต่อกับพอร์ตโฮสต์ 1.2.3.4 NEWSSHPORT: การเชื่อมต่อหมดเวลา
แต่เมื่อฉันลองพอร์ตดั้งเดิม 22:
ssh -i C:\path\to\saved\key\ssh-key-2021-12-14.key -p 22 [email protected]
ssh: เชื่อมต่อกับโฮสต์ 152.70.195.101 พอร์ต 22: การเชื่อมต่อถูกปฏิเสธ
และถ้าฉันลองพอร์ตสุ่มที่ไม่มีสิ่งใดฟังอยู่และฉันไม่มีกฎซับเน็ตของ Oracle ที่จะอนุญาต:
ssh -i C:\path\to\saved\key\ssh-key-2021-12-14.key -p 3456 [email protected]
ssh: เชื่อมต่อกับโฮสต์ 1.2.3.4 พอร์ต 3456: การเชื่อมต่อหมดเวลา
สรุป: ดูเหมือนว่าทราฟฟิกดั้งเดิมไปยังพอร์ต 22 กำลังผ่านเข้ามาอย่างแน่นอน แต่ถูกปฏิเสธโดยเครื่องนั่นเป็นการตอบสนองที่ถูกต้อง แต่ลองใช้พอร์ตอื่น ๆ ดูเหมือนว่าทราฟฟิกจะถูกบล็อกหรือตกอยู่ที่ใดที่หนึ่งระหว่างทางไปยังเครื่องของฉัน ผมทำอะไรผิดหรือเปล่า?
ฉันพบคำตอบ ที่นี่
ปัญหานี้เกิดขึ้นกับ ufw กับ iptables แม้ว่าในการติดตั้งที่บ้านอ้างอิงของ ubuntu ufw จะถูกปิดใช้งานและ iptables นั้นผ่อนปรนมากเพื่อให้การรับรู้ว่าถ้า ufw ถูกปิดใช้งานคุณไม่จำเป็นต้องกังวลเกี่ยวกับ iptables นี่ไม่ใช่กฎง่ายๆ Oracle cloud มีกฎ iptables เฉพาะเพื่อให้บูตได้ตามที่กล่าวไว้ ที่นี่. ด้วยเหตุนี้พวกเขาจึงไม่แนะนำให้ใช้ ufw สำหรับอูบุนตูโดยเฉพาะ ดังนั้น กฎ iptables จะต้องเปลี่ยนโดยตรงเพื่อให้พอร์ต ssh ที่กำหนดเองของคุณเห็นทราฟฟิก
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
