如题,因为学校的安全规定,外网访问只允许 80 和 443 端口的开放。如果想要 22 端口 ssh 的话,就需要登陆学校的 vpn 。
我想问一下,如果把 ssh 的 port 修改到 443 的话,会有什么风险吗?
以及,如果可以安全地修改到 443 ,我应该怎么做呢?
1
zhangkunkyle 2023-08-29 16:26:19 +08:00
做好暴力破解的防护就好,改配置文件或者使用 nginx 转发都能实现
|
2
Morxi 2023-08-29 16:28:00 +08:00
在你要访问的机器上搭建一个 v2ray+nginx+ws 监听 443 ,然后拿代理去连接就行,安全又好用
|
3
NessajCN 2023-08-29 16:29:30 +08:00
你先说清楚所谓的外网 80 和 443 是哪里的 80 和 443,路由网关吗?还是你自己的机子有专门的线路和固定 ip 供你用?
|
4
zliea 2023-08-29 16:30:28 +08:00
部署 VPN+堡垒机,进行登录控制?
|
5
zliea 2023-08-29 16:31:03 +08:00
话说,为啥不登录学校 vpn
|
6
40kecedwixyCdM81 2023-08-29 16:32:40 +08:00
搞个 socat
|
7
NessajCN 2023-08-29 16:34:18 +08:00 1
目测是一个 xy 问题,估计你的原始需求是从外网连你自己的校园网机子对吧?
那你就直接这么问就好,不要问什么修改 ssh 到 443...因为你首先要解决公网到内网的映射问题 |
8
NessajCN 2023-08-29 16:39:22 +08:00
|
9
rjagge OP |
10
rjagge OP @NessajCN 我的想法是说,把学校的服务器(有公网 ip )的 ssh 的端口从 22 修改到 443 ,这样我就可以在家里通过 ssh 学校 ip 的 443 端口连接了。可是我不清楚这样做的风险有哪些,以及如何规避这些风险
|
11
yekern 2023-08-29 16:42:00 +08:00
哈哈哈哈哈哈哈哈 /🐶 装个宝塔 然后宝塔里面使用 终端管理就好了
|
12
yekern 2023-08-29 16:44:00 +08:00
或者 学校 机器安装个 zerotier 然后家里也装一个 就可以异地组网了.. 直接局域网管理 想怎么玩就怎么玩呗
|
14
hymzhek 2023-08-29 16:44:31 +08:00
|
15
thinkershare 2023-08-29 16:45:41 +08:00
如果你能确保 SSH 没啥漏洞,并关掉 SSH 的密码登录,22 和 443 没啥区别。
|
16
phpfpm 2023-08-29 16:46:57 +08:00
sslh
|
17
NessajCN 2023-08-29 16:46:59 +08:00
@rjagge 所以你想要修改 ssh 端口的想法并不是问题的解决方法,
如果你是校园网管理员,手握网关的端口映射设置权限,那你在确保网关本身不存在 https 网页服务的情况下,可以把网关处的 443 端口映射到内网机器 ip 的 22 端口,虽然我 99%确定你并不握有这样的权限 所以你应更多只是个普通的内网用户,在这种情况下,你想从外网连自己机子唯一的方案只有做 tunnel 或反代,也就是你必须拥有一台能从公网访问的外网服务器(云服务器 vps 之类),并且你的内网机子能访问到该服务器。 然后在服务器上部署 tunnel 或 frp 服务,再从内网机子连接到服务器的相应服务后, 就能实现你的需求了 |
18
thinkershare 2023-08-29 16:47:15 +08:00
一般对外网公开的 SSH 都是修改了端口,关掉了 ICMP ,并且限制了密码登录,并且限制了权限的。
|
19
xausky 2023-08-29 16:56:01 +08:00
前面有个环境出站只能连接 80 和 443 ,我把自己服务器来源 IP 是那个环境的 80 转到 22 ,然后用 ssh 隧道就可以随意访问么。
|
20
cookii 2023-08-29 17:38:20 +08:00 via Android
内网穿透
|
21
wangbin526 2023-08-29 18:12:49 +08:00
SSH 暴露在 22 端口还是 443 端口,安全上没区别啊
一般尽量不直接暴露 SSH 端口,需要通过跳板机或者 VPN ,至少防火墙设置下只允许指定 IP 段连接 SSH 端口,只是家用不太现实 校园网只要 SSH 仅用证书登录问题也不大,想保险的话,自己签发个证书,本机装 Stunnel 客户端,将指定端口的 SSH 数据 TLS 加密后发往学校服务器 443 端口,学校服务器装 Stunnel 服务端,将 443 端口接收到的数据解密后转发到本机 SSH 端口,相当于对整个 SSH 连接进行了透明转发+TLS 加密,只要自签发的证书没丢,基本也没多少风险 |
22
yinmin 2023-08-29 18:19:18 +08:00 via iPhone
建议 OP 别做。把内网 ssh 偷偷映射到外网,建议你不要做。老老实实去申请 VPN 拨入。如果是在企业,这种行为抓到了是要被开除的;如果导致黑客入侵,搞不好要进去踩缝纫机的。
|
23
dode 2023-08-29 18:34:39 +08:00
fedora server 自带 9090Web 管理服务,比较安全和纯粹,你可以把 443 端口转发到 9090
|
24
imnpc 2023-08-29 18:37:26 +08:00
严格按照规矩来 不要作死
|
25
dode 2023-08-29 18:37:27 +08:00
通过 nginx 代理还可以多个网站共存,通过默认空白服务,隐藏管理服务,密码使用工具自动生成保证强度和长度,启用系统自动更新。
|
26
zedpass 2023-08-29 18:38:33 +08:00
你这个要 ssh 到的服务器是自己的资产吗,是放到宿舍里面使用的吗;如果是学校的资产,建议别做,出了问题要负责的
|
27
bing1178 2023-08-29 18:47:50 +08:00
没有任何风险 ssh 用 80 吧,443 自己建站用
|
28
rjagge OP @NessajCN 我尽量阐述清楚我的情况:学校的 server 有一个公网 ip ,我有这个 server 的 root ,我之前有做过把 22port 修改到 443 ,然后绕过了学校的 block 。后来我觉得这样不安全,又给改回来了。 这个 server 目前只有我一个人在用,所以我能够确保没有 https 服务。不过大哥你说的这些对我来说有点超纲了, 我需要了解一下。。。
|
29
nightcc 2023-08-29 19:09:26 +08:00 via Android
sslh 可以让 https 和 ssh 共用端口,原理就是让 sslh 监听 443 ,把不同类型的流量转发到不同端口;你可以把 ssh 流量直接转发到你自己的机器上。
|
31
rjagge OP |
32
nightcc 2023-08-29 19:19:34 +08:00 via Android
@rjagge 学校运维一般不会探测端口吧,但是你只要用这个端口总会有流量的,一般没人在意罢了。要避免探测,可以把除了你源地址外的流量 drop 了。那这样不如直接把 ssh 改成 443
|
33
wangmou 2023-08-29 19:31:43 +08:00
我们实验室部分老师涉密,他们从来不用我们实验室服务器,但是这些服务器是走他们项目购买的,全部为涉密设备。楼主你要考虑好设备是否涉密,别到时候扯出事来,哪怕上面啥都没有也很难受
|
34
picklesyard 2023-08-29 19:32:38 +08:00
vpn 不能登吗?没让你用堡垒机已经够仁慈了。
|
35
lshang 2023-08-29 21:13:42 +08:00 via Android
在企业这是严重违规的高风险行为,不确定学校是否有相关的安全管控政策或条例。不过不管有没有相关政策,都不建议直接暴露内网的 ssh 到外部。
|
36
ooxxcc 2023-08-29 21:28:57 +08:00
|
37
Tufutogo 2023-08-30 00:28:47 +08:00
强烈建议不要在校园资产上做有风险的事。
除非你认为收益大过毕业证书。 如果你的 root 是正当流程获取的,那不要辜负别人的信任。 如果你的 root 是非正当流程获取的,那你要小心可能会是个蜜罐。 |
38
dianso 2023-08-30 00:53:07 +08:00
可以,端口复用呗,我的 rdp tcp 还有代理 都是 81 端口
|
39
IvanLi127 2023-08-30 02:08:02 +08:00 via Android
如果不做复用,就是你不用 443 端口做 https ,那直接改没任何问题,看描述学校并没有禁止这个操作,如果改完连不上,可能是学校禁止这样,就不要想着突破了。
学校可能只是出于安全考虑,限制了意外公开了不常见、风险高的端口,你既然主动暴露出去,那至少你知道有这么个事,安全性已经有一些了。反正没明确禁止这么干,自己保护好这个 ssh 就行了 |
40
SenLief 2023-08-30 07:40:15 +08:00 via iPhone
用 haproxy 复用 443 端口,用 sni 隔离就可以。做好安全权限哦,或者你的机子本身就是隔离的。
话说学校的机子为什么不用 vpn 跳板回去。 |
41
chendy 2023-08-30 08:37:42 +08:00
既然已经有 VPN 了还研究这种歪门邪道干啥
暴露到外网之后,真被爆破了挂上勒索病毒啥的楼主付得起这个责任么… |
42
Jiankg 2023-08-30 08:46:14 +08:00 via iPhone
千万别,学校这是只允许你们开 web ,ssh 对公网开放肯定不行
|
43
hefish 2023-08-30 09:33:20 +08:00
zerotier 嘛,tailscale 嘛。。。
|
44
angryfish 2023-08-30 10:02:38 +08:00
要是在企业,你这样做,出问题了,你就准备捡包袱走人吧。
在学校,网管为了安全封闭了 22 ,只允许 443,80 ,就是说只允许 web 开放,你别作死,擅自改 22 端口,出问题可大可小的。 |
45
CodeCodeStudy 2023-08-30 10:10:11 +08:00
@rjagge 28 楼主你这是在作死啊,不管这台服务器是不是只有你一个人在用,不是你的东西就不要瞎搞,老老实实按照规定来,要真出事了你就别想拿毕业证了
|
46
HangoX 2023-08-30 10:15:08 +08:00
讲个办法,你只是不想通过学校的 vpn 连接而已,可以通过 tls + vmess 搭建一个 443 websocket 代理,通过 clash 分流 ssh 回去即可,这样就是 443 端口,同时因为加了 vmess 验证,安全也有保障。对外访问就是一个普通的网页
|
47
Cu635 2023-09-03 19:48:49 +08:00
学校 vpn 用的是什么软件?深信服那一套 vpn ?还是 openpn 、pptp vpn 之类的?
|