SSH डिफ़ॉल्ट रूप से पोर्ट 22 पर चलता है। यह एक संयोग नहीं है। यहां इस बात की कहानी है कि उन्हें यह बंदरगाह कैसे मिला।

जब मैंने ( तातु इलोनन ) पहली बार अप्रैल 2017 में इस कहानी को प्रकाशित किया, तो यह वायरल हो गया: इसे तीन दिनों में लगभग 120,000 पाठकों ने पढ़ा।

SSH के लिए पोर्ट 22 प्राप्त करने का इतिहास

मैंने 1995 के वसंत में एसएसएच (सिक्योर शेल) का पहला संस्करण लिखा था। टेलनेट और एफ़टीपी उस समय व्यापक रूप से उपयोग किए गए थे ।

लेकिन मैंने अभी भी telnet (पोर्ट 23) और ftp (पोर्ट 21) दोनों को बदलने के लिए एसएसएच विकसित किया है। पोर्ट 22 स्वतंत्र और आसानी से टेलनेट और एफटीपी के लिए बंदरगाहों के बीच स्थित था। मैंने सोचा था कि इस तरह के पोर्ट नंबर उन छोटे विवरणों में से एक हो सकते हैं जो कुछ एसएसएच ट्रस्ट को आभा देंगे। लेकिन इसे कैसे प्राप्त करें? मुझे कभी भी बंदरगाहों का आवंटन नहीं हुआ, लेकिन मैं उन लोगों को जानता था जो ऐसा करते हैं।

उस समय पोर्ट आवंटन काफी सीधा था। इंटरनेट छोटा था और हम इंटरनेट बूम के शुरुआती दौर में थे। पोर्ट नंबर IANA (इंटरनेट असाइन किए गए नंबर प्राधिकरण) द्वारा आवंटित किए गए थे। उस समय, इसका मतलब था सम्मानित इंटरनेट अग्रणी जॉन पोस्टेल और जॉइस सी। रेनॉल्ड्स । अन्य बातों के अलावा, जॉन IP (RFC 791), ICMP (RFC 792) और TCP (RFC 793) जैसे मामूली प्रोटोकॉल के संपादक थे। आप में से कुछ ने उनके बारे में सुना होगा।

मैं जॉन द्वारा इंटरनेट के सभी प्रमुख RFC के लेखक के रूप में स्पष्ट रूप से डर गया था!

एक तरह से या कोई अन्य, लेकिन जुलाई 1995 में ssh-1.0 घोषणा से पहले, मैंने निम्नलिखित ईमेल IANA को भेजा:

येलो मोन से 10 जुलाई 11:45:48 +0300 1995
प्रेषक: तातु यलोनेन <ylo@cs.hut.fi>
को: इंटरनेट असाइन किए गए नंबर प्राधिकरण <iana@isi.edu>
विषय: पोर्ट नंबर के लिए अनुरोध
संगठन: हेलसिंकी प्रौद्योगिकी विश्वविद्यालय, फिनलैंड

प्रिय महोदय,

मैंने असुरक्षित नेटवर्क पर एक मशीन से दूसरी मशीन में सुरक्षित रूप से लॉग इन करने का प्रोग्राम लिखा। यह मौजूदा टेलनेट और रागिन प्रोटोकॉल और उनके कार्यान्वयन पर एक महत्वपूर्ण सुरक्षा सुधार है। विशेष रूप से, यह IP, DNS और रूटिंग स्पूफिंग को रोकता है। मेरी योजना इंटरनेट पर कार्यक्रम को स्वतंत्र रूप से वितरित करने और इसके व्यापक उपयोग को सुनिश्चित करने की है।

मैं कार्यक्रम के लिए एक पंजीकृत विशेषाधिकार प्राप्त पोर्ट नंबर प्राप्त करना चाहूंगा। यह 1-255 की सीमा में वांछनीय है ताकि इसे नाम सर्वर पर WKS फ़ील्ड में उपयोग किया जा सके।

नीचे मैं प्रोटोकॉल के लिए RFC प्रोजेक्ट लागू करता हूं। सॉफ्टवेयर का उपयोग स्थानीय रूप से कई महीनों से किया जा रहा है और पोर्ट नंबर के अपवाद के साथ प्रकाशन के लिए तैयार है। यदि आप जल्दी से एक पोर्ट नंबर दे सकते हैं, तो मैं इस सप्ताह कार्यक्रम करना चाहता हूं। मैं वर्तमान में बीटा परीक्षण में पोर्ट 22 का उपयोग कर रहा हूं। इस संख्या का उपयोग करना बहुत अच्छा होगा (वर्तमान में सूचियों में "अनसाइनड" के रूप में सूचीबद्ध)।

सॉफ्टवेयर के लिए सेवा का नाम "ssh" (सिक्योर शेल) है।

निष्ठा से,

तातु इलोनें <ylo@cs.hut.fi>

... तो ssh-1.0 प्रोटोकॉल विनिर्देश निम्नानुसार है

अगले दिन, जॉइस का एक पत्र इनबॉक्स में था:

दिनांक: सोम, 10 जुलाई 1995 15:35:33 -0700
प्रेषक: jkrey@ISI.EDU
To: ylo@cs.hut.fi
विषय: पुन: पोर्ट नंबर के लिए अनुरोध
Cc: iana@ISI.EDU

टटू

हमने SSH के लिए पोर्ट 22 सौंपा है, जो आपको संपर्क व्यक्ति के रूप में निर्दिष्ट करता है।

जॉइस

हमने कर दिखाया! अब एसएसएच में पोर्ट 22 !!!

12 जुलाई, 1995 को 2:32 बजे, मैंने हेलसिंकी विश्वविद्यालय में अपने बीटा परीक्षकों के लिए अंतिम बीटा की घोषणा की। 17:23 पर उन्होंने परीक्षकों को ssh-1.0.0 पैकेज भेजा, और 17:51 पर उन्होंने SSH (सिक्योर शेल) के बारे में एक घोषणा को cypherpunks@toad.com मेलिंग cypherpunks@toad.com में cypherpunks@toad.com । मैंने कई समाचार समूहों, मेलिंग सूचियों और सीधे उन व्यक्तियों पर घोषणा की नकल की, जिन्होंने इंटरनेट पर संबंधित विषयों पर चर्चा की।

सर्वर पर SSH पोर्ट बदलना

डिफ़ॉल्ट रूप से, SSH सर्वर अभी भी पोर्ट 22 पर चल रहा है। हालांकि, यह अलग तरह से होता है। एक कारण परीक्षण है। एक ही होस्ट पर एक से अधिक कॉन्फ़िगरेशन चलाने के लिए है। यह दुर्लभ है कि एक सर्वर रूट विशेषाधिकारों के बिना चलता है, उस स्थिति में यह एक अनपेक्षित पोर्ट पर स्थित होना चाहिए (यानी, 1024 या अधिक की संख्या के साथ)।

Port 22 को / etc / ssh / sshd_config में निर्देश Port 22 को बदलकर पोर्ट नंबर कॉन्फ़िगर किया जा सकता है। यह sshd में -p <port> पैरामीटर द्वारा भी निर्दिष्ट किया गया है। SSH क्लाइंट और sftp प्रोग्राम भी -p <port> पैरामीटर का समर्थन करते हैं।

कमांड लाइन पर एक SSH पोर्ट निर्दिष्ट करना

लिनक्स पर ssh कमांड का उपयोग करते समय पोर्ट नंबर को निर्दिष्ट करने के लिए -p <port> पैरामीटर का उपयोग किया जा सकता है। SFTP और scp -P <port> पैरामीटर (नोट: पूँजी P) का उपयोग करते हैं। कमांड लाइन से एक निर्देश कॉन्फ़िगरेशन फ़ाइलों में किसी भी मूल्य को ओवरराइड करता है।

फायरवॉल के माध्यम से SSH एक्सेस को कॉन्फ़िगर करना

एसएसएच कुछ प्रोटोकॉल में से एक है जिसे अक्सर आउटगोइंग एक्सेस के लिए फायरवॉल के माध्यम से काम करने की अनुमति दी जाती है, विशेष रूप से छोटी और तकनीकी कंपनियों में। इनबाउंड SSH को आमतौर पर एक या अधिक सर्वरों के लिए अनुमति दी जाती है।

निवर्तमान ssh

एक फ़ायरवॉल में आउटगोइंग ssh सेट करना बहुत सरल है। यदि सामान्य रूप से आउटगोइंग ट्रैफ़िक पर प्रतिबंध है, तो बस एक नियम बनाएं जो टीसीपी पोर्ट 22 पर आउटगोइंग कनेक्शन की अनुमति देता है। बस इतना ही। यदि आप गंतव्य पतों को सीमित करना चाहते हैं, तो आप केवल क्लाउड में अपने संगठन के सर्वर तक पहुँच की अनुमति देकर एक उचित नियम बना सकते हैं या एक क्लाउड सर्वर पर पहुँच सकते हैं जो क्लाउड तक पहुँच को सुरक्षित रखता है।

रिवर्स टनलिंग एक जोखिम है

हालांकि, असीमित निवर्तमान एसएसएच जोखिम भरा हो सकता है। SSH प्रोटोकॉल टनलिंग का समर्थन करता है। मुख्य विचार यह है कि बाहरी सर्वर पर एसएसएच सर्वर हर जगह से कनेक्शन के लिए सुनता है, उन्हें संगठन के लिए आगे बढ़ाता है और किसी प्रकार के आंतरिक सर्वर के साथ कनेक्शन स्थापित करता है।

कुछ मामलों में, यह सुविधाजनक है। डेवलपर्स और सिस्टम प्रशासक अक्सर यात्रा करते समय घर से या लैपटॉप से ​​रिमोट एक्सेस प्राप्त करने के लिए सुरंग का उपयोग करते हैं।

लेकिन आमतौर पर टनलिंग सुरक्षा नीति का उल्लंघन करता है और फ़ायरवॉल प्रशासकों और आईएस टीम को नियंत्रित करता है। उदाहरण के लिए, यह PCI , HIPAA या NIST SP 800-53 नियमों का उल्लंघन कर सकता है। इसका उपयोग हैकर्स और विशेष सेवाओं द्वारा स्थानीय नेटवर्क पर बैकडोर छोड़ने के लिए किया जा सकता है।

CryptoAuditor प्रोग्राम फ़ायरवॉल या क्लाउड सर्वर के एक समूह में प्रवेश बिंदु पर टनलिंग को नियंत्रित करता है। यह यूनिवर्सल एसएसएच कुंजी प्रबंधक के साथ संयोजन के रूप में काम करता है ताकि मेजबान कुंजी तक पहुंच प्राप्त हो सके, उन्हें फ़ायरवॉल में एसएसएच सत्र को डिक्रिप्ट करने और अनधिकृत अग्रेषण को ब्लॉक करने के लिए उपयोग किया जाता है।

भीतर का ssh

इनबाउंड एक्सेस के लिए, कई विकल्प हैं:

• आंतरिक नेटवर्क या डीएमजेड पर एक विशिष्ट आईपी पते पर 22 को पोर्ट करने के लिए सभी कनेक्शनों को अग्रेषित करने के लिए एक फ़ायरवॉल कॉन्फ़िगर करें। संगठन के आगे पहुँच को नियंत्रित करने और सत्यापित करने के लिए इस IP पते पर एक CryptoAuditor या जंप सर्वर चलाएं।
• विभिन्न सर्वरों तक पहुंचने के लिए फ़ायरवॉल पर अलग-अलग पोर्ट का उपयोग करें।
• केवल वीपीएन का उपयोग करने के बाद लॉगिंग के बाद एसएसएच एक्सेस की अनुमति दें, आमतौर पर आईपीसेक पर ।

Iptables के माध्यम से SSH को सक्षम करना

Iptables लिनक्स कर्नेल में निर्मित एक मेजबान फ़ायरवॉल है। यह आमतौर पर सभी बंदरगाहों तक पहुंच को रोककर सर्वर की सुरक्षा के लिए कॉन्फ़िगर किया गया है जो स्पष्ट रूप से खुले नहीं थे।

यदि सर्वर पर iptables सक्षम है, तो निम्न कमांड आने वाली SSH की अनुमति दे सकता है। उन्हें जड़ के नीचे से चलाया जाना चाहिए।

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

यदि आप नियमों को हमेशा के लिए रखना चाहते हैं, तो कुछ प्रणालियों में यह कमांड के साथ किया जा सकता है:

service iptables save