• Mudalo porto SSH en Fedora 23 e cómo manexalo seu firewall
  • Mudando o porto na configuración de SSH
    • Editamos /etc/ssh/sshd_config
    • Firewall
      • Listalas zonas activas
    • FedoraServer
      • Engadindo o novo porto as normas do firewall
      • Consultando se o porto está aberto no firewall

Mudalo porto SSH en Fedora 23 e cómo manexalo seu firewall

Unha boa práctica con SSH é mudalo porto por defecto “22” a un da túa elección superior ao 1024 pra evitar ataques automáticos que se envían a ese porto.

En Fedora 23 a hora de mudalo porto SSH hai que ter en conta 3 cousas:

• Mudala configuración do demo sshd pra asignarlle o porto.
• A configuración do firewall pra aceptar conexións no novo porto.
• Se temos SELinux configurala política de uso do porto.

Mudando o porto na configuración de SSH

Editamos /etc/ssh/sshd_config

Descomentamos “Port” e lle asinamos outro número, tamén podemos poñer varios portos:

Port <novo_número_porto>

O de poñer varios portos é bo pras probas, deixamos o 22 e o novo, así nos aseguramos de que funciona o novo sen perderla posibilidade de voltar conectar ao 22, se algo non sae ben (por exemplo se bloquee a conexión por parte dun firewall externo).

Egadímolo cambio a SELinux:

# semanage port -a -t ssh_port_t -p tcp <novo_número_porto>

Firewall

O firewall en Fedora se xestiona con firewall-cmd, escrito en python.

Listalas zonas activas

Pra velas zonas activas:

# firewall-cmd  --list-all

Nos devolvería algo así:

FedoraServer (default, active)
  interfaces: <interface>
  sources: 
  services: <nome_servizo1> <nome_servizo2> <nome_servizo_etc...>
  ports: 
  protocols: 
  masquerade: 
  forward-ports: 
  icmp-blocks: 
  rich rules: 

Pra vela zona por defecto:

# firewall-cmd  --get-default-zone 

FedoraServer

Por defecto na versión ARM de Fedora Server, úsase este firewall, nas outras versións igual non.

Engadindo o novo porto as normas do firewall

Engadímolo porto do tipo tcp a zona do firewall:

# firewall-cmd  --permanent --zone=<nome_zona> --add-port=<novo_número_porto>/tcp

Se queres probalo temporalmente omite o “-permanent” mais se está temporal a mudanza non se verá reflexada na consulta das súas regras.

Consultando se o porto está aberto no firewall

Pra consultar se hemos aberto o porto no firewall por defecto:

# firewall-cmd --query-port=<número_porto>/tcp

Se o porto está aberto porá “yes”, e isto é todo, o mesmo se aplicaría pra outros portos como o 80 do servidor http de Apache.