[不懂就问] ssh 能够安全地修改 port 到 443 吗?

2023-08-29 16:23:45 +08:00
 rjagge

如题,因为学校的安全规定,外网访问只允许 80 和 443 端口的开放。如果想要 22 端口 ssh 的话,就需要登陆学校的 vpn 。

我想问一下,如果把 ssh 的 port 修改到 443 的话,会有什么风险吗?

以及,如果可以安全地修改到 443 ,我应该怎么做呢?

3605 次点击
所在节点    程序员
48 条回复
wangbin526
2023-08-29 18:12:49 +08:00
SSH 暴露在 22 端口还是 443 端口,安全上没区别啊
一般尽量不直接暴露 SSH 端口,需要通过跳板机或者 VPN ,至少防火墙设置下只允许指定 IP 段连接 SSH 端口,只是家用不太现实
校园网只要 SSH 仅用证书登录问题也不大,想保险的话,自己签发个证书,本机装 Stunnel 客户端,将指定端口的 SSH 数据 TLS 加密后发往学校服务器 443 端口,学校服务器装 Stunnel 服务端,将 443 端口接收到的数据解密后转发到本机 SSH 端口,相当于对整个 SSH 连接进行了透明转发+TLS 加密,只要自签发的证书没丢,基本也没多少风险
yinmin
2023-08-29 18:19:18 +08:00
建议 OP 别做。把内网 ssh 偷偷映射到外网,建议你不要做。老老实实去申请 VPN 拨入。如果是在企业,这种行为抓到了是要被开除的;如果导致黑客入侵,搞不好要进去踩缝纫机的。
dode
2023-08-29 18:34:39 +08:00
fedora server 自带 9090Web 管理服务,比较安全和纯粹,你可以把 443 端口转发到 9090
imnpc
2023-08-29 18:37:26 +08:00
严格按照规矩来 不要作死
dode
2023-08-29 18:37:27 +08:00
通过 nginx 代理还可以多个网站共存,通过默认空白服务,隐藏管理服务,密码使用工具自动生成保证强度和长度,启用系统自动更新。
zedpass
2023-08-29 18:38:33 +08:00
你这个要 ssh 到的服务器是自己的资产吗,是放到宿舍里面使用的吗;如果是学校的资产,建议别做,出了问题要负责的
bing1178
2023-08-29 18:47:50 +08:00
没有任何风险 ssh 用 80 吧,443 自己建站用
rjagge
2023-08-29 19:07:07 +08:00
@NessajCN 我尽量阐述清楚我的情况:学校的 server 有一个公网 ip ,我有这个 server 的 root ,我之前有做过把 22port 修改到 443 ,然后绕过了学校的 block 。后来我觉得这样不安全,又给改回来了。 这个 server 目前只有我一个人在用,所以我能够确保没有 https 服务。不过大哥你说的这些对我来说有点超纲了, 我需要了解一下。。。
nightcc
2023-08-29 19:09:26 +08:00
sslh 可以让 https 和 ssh 共用端口,原理就是让 sslh 监听 443 ,把不同类型的流量转发到不同端口;你可以把 ssh 流量直接转发到你自己的机器上。
rjagge
2023-08-29 19:12:53 +08:00
@nightcc 这样做的话,学校的运维应该会检测到我有一个 sslh 的服务监听在 443 端口吧?
rjagge
2023-08-29 19:14:37 +08:00
@yinmin
@imnpc
@zedpass
这个 server 是学校的资产。我之前作死弄过 443 端口 ssh ,后来细思极恐又给关了。这会儿正在严格审核分析大家的意见,看到底能不能行的通。
nightcc
2023-08-29 19:19:34 +08:00
@rjagge 学校运维一般不会探测端口吧,但是你只要用这个端口总会有流量的,一般没人在意罢了。要避免探测,可以把除了你源地址外的流量 drop 了。那这样不如直接把 ssh 改成 443
wangmou
2023-08-29 19:31:43 +08:00
我们实验室部分老师涉密,他们从来不用我们实验室服务器,但是这些服务器是走他们项目购买的,全部为涉密设备。楼主你要考虑好设备是否涉密,别到时候扯出事来,哪怕上面啥都没有也很难受
picklesyard
2023-08-29 19:32:38 +08:00
vpn 不能登吗?没让你用堡垒机已经够仁慈了。
lshang
2023-08-29 21:13:42 +08:00
在企业这是严重违规的高风险行为,不确定学校是否有相关的安全管控政策或条例。不过不管有没有相关政策,都不建议直接暴露内网的 ssh 到外部。
ooxxcc
2023-08-29 21:28:57 +08:00
Tufutogo
2023-08-30 00:28:47 +08:00
强烈建议不要在校园资产上做有风险的事。

除非你认为收益大过毕业证书。

如果你的 root 是正当流程获取的,那不要辜负别人的信任。

如果你的 root 是非正当流程获取的,那你要小心可能会是个蜜罐。
dianso
2023-08-30 00:53:07 +08:00
可以,端口复用呗,我的 rdp tcp 还有代理 都是 81 端口
IvanLi127
2023-08-30 02:08:02 +08:00
如果不做复用,就是你不用 443 端口做 https ,那直接改没任何问题,看描述学校并没有禁止这个操作,如果改完连不上,可能是学校禁止这样,就不要想着突破了。

学校可能只是出于安全考虑,限制了意外公开了不常见、风险高的端口,你既然主动暴露出去,那至少你知道有这么个事,安全性已经有一些了。反正没明确禁止这么干,自己保护好这个 ssh 就行了
SenLief
2023-08-30 07:40:15 +08:00
用 haproxy 复用 443 端口,用 sni 隔离就可以。做好安全权限哦,或者你的机子本身就是隔离的。

话说学校的机子为什么不用 vpn 跳板回去。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/969236

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX