Portul ssh de schimbare Oracle cloud compute eșuează

Sunt nou în cloud computing și intenționez să folosesc un serviciu de calcul întotdeauna gratuit de la Oracle Cloud pentru a obține o adresă IP publică pentru a rula un site web. Ca măsură de securitate de bază, cer ca mașinile mele să nu asculte SSH pe portul implicit 22, deoarece acesta este prea ușor de adulmecat, dar îl schimb pe un nou port pe care îl voi păstra secret, dar mă voi referi ca NEWSSHPORT. Acest lucru este deosebit de important atunci când utilizați o adresă IP publică. Problema mea este după ce intru ssh în mașină, verific că firewall-ul (în mod implicit) este oprit și astfel permite întregul trafic, iar portul meu preferat NEWSSHPORT nu este utilizat de niciun alt serviciu. Schimb portul de ascultare cu noul port, repornesc serviciul ssh, verific că am avut o regulă de intrare care permite acest trafic pe site-ul web Oracle cloud pentru subrețeaua mea. Încerc să fac ssh folosind noul port și expiră la fel ca orice alt port. Portul implicit 22 oferă în schimb o conexiune refuzată.

Această întrebare este similară, dar nu este aceeași cu: schimbarea portului ssh a cauzat refuzul de conectare

Ce îmi lipsește?

Creați o instanță de calcul: Plasare implicită Imagine: Canonical Ubuntu 18.04 Forma: VM.Standard.A1.Flex 4 Core OCPU, 24 GB memorie Rețea implicită Salvați cheia privată ssh Volumul implicit al cărții Creați instanța

Așteptați ca acesta să fie furnizat Copiați adresa IP publică a acesteia: 1.2.3.4

SSH la portul implicit 22

ssh -i C:\cale\la\salvat\key\ssh-key-2021-12-14.key -p 22 [email protected]

Amprentă ECDSA nouă. Salvați-l? da SSH a avut succes.

Pe mașină: Verificați firewall

$ sudo ufw status

inactiv (Acest lucru înseamnă că tot traficul este permis)

Verificați ce porturi sunt deja în uz:

UDP*:111
UDP*:932
TCP*:111 (ASCULTĂ)
UDP*:111
UDP*:932
TCP*:111 (ASCULTĂ)
UDP :68
UDP :53
UDP :53
UDP :53 (ASCULTATE)
TCP :22 (ASCULTĂ)
TCP :22 (ASCULTĂ)
:22 -> mypc:myport (conexiunea mea ssh)

Portul meu preferat pentru a asculta pe SSH este deschis/nu este utilizat de alt program.

Schimbați portul de ascultare ssh. și setați la portul întreg preferat.Voi păstra acest număr întreg privat din motive de securitate, dar îi voi reprezenta numărul cu șirul: NEWSSHPORT

$ sudo vi /etc/ssh/sshd_config
Port NEWSSHPORT

reporniți serviciul ssh

$ sudo systemctl restart sshd

verificați dacă ssh ascultă acum pe acest nou NEWSSHPORT:

$ sudo lsof -i -P -n

acum acestea sunt prezente:

sshd root IPv4 TCP *:NEWSSHPORT (ASCULTARE)
sshd root IPv6 TCP *:NEWSSHPORT (ASCULTARE)

verificați din nou dacă firewall-ul nu este încă online:

$ sudo ufw status
Stare: inactiv

Deci s-a confirmat că firewall-ul nu este activat, așa că totul este permis. Este confirmat că ssh ascultă acum pe noul port: NEWSSHPORT atât pe IPv4, cât și pe IPv6 pentru traficul TCP.

ieși din mașină:

$ ieșire

Verificați că subrețeaua cloud Oracle permite traficul pe noul dvs. port: Accesați instanța de calcul > fila Informații despre instanță > VNIC principal > faceți clic pe linkul de subrețea pentru a vedea subrețeaua acesteia. Listă de securitate > Listă de securitate implicită. apasa pe el. Verificați că NEWSSHPORT are o regulă de intrare pentru IP 0.0.0.0/0 care este notația CIDR pentru toate adresele IP posibile. Regula MEA de intrare actuală: Apatrid: Nu, Sursă: 0.0.0.0/0 Interval de porturi sursă TCP: Toate, Interval de porturi de destinație: NEWSSHPORT, Tip și cod: Am lăsat gol. Bine, deci traficul pe noul tău port ar trebui să fie permis.

Momentul adevărului:

ssh -i C:\cale\la\salvat\key\ssh-key-2021-12-14.key -p NEWSSHPORT [email protected]
ssh: conectați-vă la portul gazdă 1.2.3.4 NEWSSHPORT: Conexiunea a expirat

dar când încerc portul original 22:

ssh -i C:\cale\la\salvat\key\ssh-key-2021-12-14.key -p 22 [email protected]
ssh: conectați-vă la gazda 152.70.195.101 portul 22: conexiune refuzată

și dacă încerc un port aleatoriu pe care nu ascultă nimic și nu am nicio regulă de subrețea Oracle care să permită:

ssh -i C:\cale\la\salvat\key\ssh-key-2021-12-14.key -p 3456 [email protected]
ssh: conectează-te la portul gazdă 1.2.3.4 3456: conexiune a expirat

Concluzie: Se pare că traficul inițial către portul 22 trece cu siguranță, dar este refuzat de mașină.Acesta este răspunsul corect, dar încercând orice alt port, se pare că traficul este blocat sau scăpat undeva pe drumul către mașina mea. ce fac greșit?

Am gasit raspunsul Aici

Această problemă este cu ufw vs iptables. Deși pe o casă de referință, instalarea ubuntu ufw este dezactivată și iptables este foarte indulgent pentru a da percepția că, dacă ufw este dezactivat, atunci nu trebuie să vă faceți griji pentru iptables. Aceasta nu este o regulă de bază bună. Oracle cloud are câteva reguli iptables specifice pentru a-i permite să pornească așa cum sa discutat Aici. Datorită acestora, ei recomandă să nu folosiți ufw special pentru ubuntu. Deci, regulile iptables vor trebui modificate direct pentru a permite portului dumneavoastră ssh personalizat să vadă traficul.