changement de port ssh

gotcha5832 · Le 29/05/2017, à 12:21

Je lutte pour changer le port ssh.

J'ai sur le serveur dans /etc/ssh/ssh_config

Host *
Port 1012

dans /etc/ssh/sshd_config

Port 1012

dans /Home/Moi/.ssh/config

Host *
Port 1012

Mais à la connection

$ ssh Moi@Serv -vvv
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /home/Moi/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to Serv [Serv] port 22.

Alors je comprends pas pourquoi et comment se connecte t il au 22?

Pourtant netstat me donne:

sudo netstat -tlnpu
[sudo] password for User: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:27017         0.0.0.0:*               LISTEN      944/mongod      
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1290/mysqld     
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      1968/memcached  
tcp        0      0 0.0.0.0:1012            0.0.0.0:*               LISTEN      941/sshd        
tcp6       0      0 :::80                   :::*                    LISTEN      689/apache2     
tcp6       0      0 :::21                   :::*                    LISTEN      21181/proftpd: (acc
tcp6       0      0 :::443                  :::*                    LISTEN      689/apache2     
tcp6       0      0 :::7134                 :::*                    LISTEN      2008/java       
tcp6       0      0 :::1012                 :::*                    LISTEN      941/sshd        
udp        0      0 127.0.0.1:11211         0.0.0.0:*                           1968/memcached  
udp        0      0 0.0.0.0:15584           0.0.0.0:*                           695/dhclient    
udp        0      0 127.0.0.1:8135          0.0.0.0:*                           2034/tideways-daemo
udp        0      0 0.0.0.0:68              0.0.0.0:*                           695/dhclient

udp6 0 0 :::19435 :::* 695/dhclient

Donc le port 22 n'est pas ouvert?

jean-luc5629 · Le 29/05/2017, à 14:37

Salut,
@gotcha5832

Délocaliser le port ssh est un gadget totalement useless...ça va tout au plus limiter les logs provenant des robots; mais si ton serveur devient la cible privilégiée d'un hacker, il aura vite fait de trouver ton port ssh même sur le 51354 ou autres...

En ssh, connecte toi que par clefs ssh exclusivement et une fois les clefs testées tu bannis la connexion par mots de passe en mettant "PasswordAuthentication no" dans ton sshd_config et tu seras tranquille tout en restant sur le 22....que des gens frappent à la porte, tant qu'ils ne peuvent pas rentrer, je ne vois pas en quoi ça gène !!!

Dernière modification par jean-luc5629 (Le 29/05/2017, à 14:38)

krodelabestiole · Le 29/05/2017, à 14:55

ssh Moi@Serv -p 1012

krodelabestiole · Le 29/05/2017, à 14:57

ou alors le problème c'est que ça marche avec le port 22 alors que ça devrait pas ?

jean-luc5629 · Le 29/05/2017, à 16:03

krodelabestiole a écrit :

ou alors le problème c'est que ça marche avec le port 22 alors que ça devrait pas ?

Impossible qu'il arrive à se connecter sans préciser le port dans sa commande vu que son serveur n'écoute que sur le 1012

Par contre comme dans ses paramètres de connexion côté client il ne précise que le -vvv (verbose) mais sans le paramètre -p1012, le client tente par défaut de se connecter au serveur via le port par défaut du serveur, c'est à dire le 22; mais c'est certain que la connexion n'aboutit pas !!!! Et c'est ça qu'il voit dans la verbosité de sa commande...

Dernière modification par jean-luc5629 (Le 29/05/2017, à 16:09)

maxire · Le 29/05/2017, à 16:18

Salut,

Ce serait bien de lire complètement le message numéro 1.

gotcha5832 a modifié la configuration du client ssh pour que le port de connexion par défaut soit 1012.
gotcha5832 a modifié le port d'écoute du serveur ssh en 1012, comme le prouve le résultat de la commande netstat.

La connexion est établie correctement comme l'indique gotcha5832 en utilisant très certainement le port 1012 et je n'ai pas de raison de mettre sa parole en doute.

Le message <<debug1: Connecting to Serv [Serv] port 22.>> semble incorrect; le reste de la connexion se passe correctement d'après gotcha5832.

gotcha5832 ce serait bien de fournir tous les messages jusqu'à l'établissement complet de la connexion c'est à dire l'affichage du prompt du site distant.

Dernière modification par maxire (Le 29/05/2017, à 16:21)

jean-luc5629 · Le 29/05/2017, à 16:34

@maxire
Effectivement, j'avais zappé sa modif côté client...

Mais pour autant, je ne vois pas comment la connexion pourrait se faire côté serveur avec le 22 alors que dans son screen netstat ce port n'apparait pas en écoute !!!; si elle se fait de toute façon c'est sur le 1012, par contre pourquoi voit il le 22 apparaître côté client ???

Comme je ne m'emmerde pas avec ce type de gadget inutile, je n'ai jamais testé ce genre de trucs...

maxire · Le 29/05/2017, à 16:43

Possiblement un message incorrect, un bug mineur de ssh (22 en dur dans le message?), mais pour le confirmer il faudrait que gotcha5832 nous donne la totalité des messages jusqu'à l'établissement complet de la connexion ssh.

Personnellement je ne m'embête pas à changer les ports par défaut je ne vois pas l'intérêt en terme de sécurité et je n'ai pas spécialement envie de tester.

krodelabestiole · Le 29/05/2017, à 20:56

jean-luc5629 a écrit :

Mais pour autant, je ne vois pas comment la connexion pourrait se faire côté serveur avec le 22 alors que dans son screen netstat ce port n'apparait pas en écoute !!!; si elle se fait de toute façon c'est sur le 1012, par contre pourquoi voit il le 22 apparaître côté client ??

un transfert de port du routeur côté serveur du port 22 externe au port 1012 interne ?
et un fichier de config client qui ne serait pas pris en compte ?

Dernière modification par krodelabestiole (Le 29/05/2017, à 20:57)

jean-luc5629 · Le 29/05/2017, à 21:44

krodelabestiole a écrit :

jean-luc5629 a écrit :
Mais pour autant, je ne vois pas comment la connexion pourrait se faire côté serveur avec le 22 alors que dans son screen netstat ce port n'apparait pas en écoute !!!; si elle se fait de toute façon c'est sur le 1012, par contre pourquoi voit il le 22 apparaître côté client ??
un transfert de port du routeur côté serveur du port 22 externe au port 1012 interne ?
et un fichier de config client qui ne serait pas pris en compte ?

Oui, mais un serveur à domicile derrière une box par exemple ??? eh oui c'est aussi un serveur ...
Car sinon un serveur type dédié tel qu'on l'entend le plus souvent, c'est du direct sur le net....

Et si tel est le cas, je vois encore moins l'utilité de faire écouter celui ci sur le 1012; autant le faire écouter sur le 22 avec une translation de port vers le 1012 en externe sur son routeur, même si ceci n'apporte rien en terme de sécurité....puisque même sur un serveur direct sur le net délocaliser le port ssh ça n'apporte rien dans ce domaine.

jean-luc5629 · Le 29/05/2017, à 21:45

un transfert de port du routeur côté serveur du port 22 externe au port 1012 interne ?
et un fichier de config client qui ne serait pas pris en compte ?

Oui, mais un serveur à domicile derrière une box par exemple ??? eh oui c'est aussi un serveur ...
Car sinon un serveur type dédié tel qu'on l'entend le plus souvent, c'est du direct sur le net.... c'est le cas de tous ceux que j'ai eu du moins...

Et si tel est le cas, je vois encore moins l'utilité de faire écouter celui ci sur le 1012; autant le faire écouter sur le 22 avec une translation de port vers le 1012 en externe sur son routeur, même si ceci n'apporte rien en terme de sécurité....puisque même sur un serveur direct sur le net délocaliser le port ssh ça n'apporte rien dans ce domaine

Dernière modification par jean-luc5629 (Le 29/05/2017, à 21:46)

krodelabestiole · Le 29/05/2017, à 21:53

jean-luc5629 a écrit :

Impossible qu'il arrive à se connecter sans préciser le port dans sa commande vu que son serveur n'écoute que sur le 1012

je parle pas d'utilité mais de contexte dans lequel ce comportement pourrait se produire.

krodelabestiole · Le 29/05/2017, à 21:59

jean-luc5629 a écrit :

Car sinon un serveur type dédié tel qu'on l'entend le plus souvent, c'est du direct sur le net....

c'est loin d'être forcément le cas. certains hébergeurs te proposent de gérer des outils en amont, firewall, protection anti DDOS, etc.
mais effectivement il peut aussi très bien s'agir d'auto hébergement.

ikoula · Le 30/05/2017, à 16:40

Bonjour,

@gotcha5832 Peux tu nous confirmer que tu as modifié la conf de ton client ssh et que tu as redémarré ton client ssh ?

maxire · Le 31/05/2017, à 10:47

En fait, j'ai testé la possibilité du message incorrect, elle se révèle impossible.
J'ai bien un numéro de port correct lorsque celui-ci n'est pas 22.

Le problème est sans doute que gotcha5832 s'est perdu dans ses tests...
Il ne nous donne que des fichiers de configurations et des compte-rendus de résultats partiels, donc impossible de se faire une idée du problème.

Ceci dit, pas de nouvelle de gotcha5832 bien que celui-ci s'est manifesté dans d'autres discussions depuis 24 heures.

gotcha5832 · Le 31/05/2017, à 12:03

Excusé moi tous, et je vous remercie.

N'étant pas chez moi pendant quelque jours, et testant et re-testant mes config, j'ai fini par arrivé à l'inévitable. à savoir impossible de me reconnecter. Pb de clef et refus de connexion par mot de passe.

Je vais reprendre mes config depuis le depuis en prenant la main par console physique et retester.

Mais l'idée de la box parait interessante.
Sachant effectivement que mon serveur est un portable derrière une box.

Sinon effectivement je me suis perdu dans les conf. a commencer par le fait que je pensant qu'il y avais un ssh_config + sshd_config coté serveurs.
Mais si j'ai bien compris
- ssh_config coté client
- sshd_config coté serveurs.

krodelabestiole · Le 31/05/2017, à 12:08

oui mais ton problème plus clairement c'est(... ou était) que tu arrives à te connecter avec le port 22 ou que tu arrives pas du tout à te connecter ?

maxire · Le 31/05/2017, à 12:22

Effectivement si tu mets le port 1012 par défaut dans la configuration client du serveur cela ne risque pas de fonctionner côté client réel.
Le client réel va tenter de se connecter au serveur ssh via le port 22 et réussir si tu te connectes de l'extérieur du réseau via une box appliquant une règle de redirection du port 22 externe de la box vers le port 1012 du serveur.

Mais bon, ce n'est qu'une hypothèse pouvant expliquer le problème initial...

krodelabestiole · Le 31/05/2017, à 12:25

et sinon maintenant ça donne quoi un simple

ssh Moi@Serv

et un

ssh Moi@Serv -p 1012

gotcha5832 · Le 31/05/2017, à 13:41

Merci à tous après avoir remis la conf d'origine. J'ai trouvé le PB.

cela venait des règles NAT de la box aucune règles ne faisait pointer les entrées du port 1012.

Donc si j'ai bien compris puisque je suis sur derrière une box au lieu de jouer sur le port d'écoute du serveur, je peux plutot agir sur les règle nat de la box
type:
Ports externes : 1012 --> IP de destination: 192.168.1.1xx --> Ports de destination : 22

Sinon quelqu'un pourrais t il me dire si j'ai bien compris au sujet de ssh_config et sshd_config
- ssh_config coté client
- sshd_config coté serveurs.

maxire · Le 31/05/2017, à 13:56

SSH_CONFIG(5)               BSD File Formats Manual              SSH_CONFIG(5)

NAME
     ssh_config — OpenSSH SSH client configuration files

SSHD_CONFIG(5)              BSD File Formats Manual             SSHD_CONFIG(5)

NAME
     sshd_config — OpenSSH SSH daemon configuration file

Premières lignes respectives des pages man de ssh_config et sshd_config.
Que dire de plus?
ssh_config = configuration du client
sshd_config = configuration du serveur
Donc, côté serveur tu gardes le port 22 et côté client tu mets le port 1012 à condition de mettre en place la règle nat que tu viens de préciser sur la box.

Mais attention si tu connectes ton appareil mobile à ton réseau privé tu devras préciser le port 22 lors du passage de la commande ssh pour te connecter au serveur.

Dernière modification par maxire (Le 31/05/2017, à 13:57)

maxire · Le 31/05/2017, à 14:20

gotcha5832 a écrit :

cela venait des règles NAT de la box aucune règles ne faisait pointer les entrées du port 1012.

??
Il doit ou il devait tout de même exister une règle de transfert du port 22 externe (côté internet) de la box vers ton serveur port 1012.

krodelabestiole · Le 31/05/2017, à 14:34

gotcha5832 a écrit :

Donc si j'ai bien compris puisque je suis sur derrière une box au lieu de jouer sur le port d'écoute du serveur, je peux plutot agir sur les règle nat de la box
type:
Ports externes : 1012 --> IP de destination: 192.168.1.1xx --> Ports de destination : 22

oui c'est une option. mais toutes les box ne permettent pas la translation de port donc à toi de voir, si tu remplaces ta box pour une qui ne le permet pas tu devras reconfigurer ton serveur.
l'un n'est pas beaucoup plus compliqué que l'autre.

je vois pas trop l'intérêt du fichier de conf côté client pour du ssh.
si tu dois utiliser un port incongru tu fais juste :

ssh user@host -p 35817

et si tu veux utiliser une clé :

ssh -i ~/.ssh/id_rsa user@host

si c'est trop long tu peux te faire un alias dans ton ~/.bashrc

alias acces_ssh='ssh -i ~/.ssh/id_rsa user@host -p 35817'

gotcha5832 · Le 31/05/2017, à 17:55

maxire a écrit :

SSH_CONFIG(5)               BSD File Formats Manual              SSH_CONFIG(5)

NAME
     ssh_config — OpenSSH SSH client configuration files

SSHD_CONFIG(5)              BSD File Formats Manual             SSHD_CONFIG(5)

NAME
     sshd_config — OpenSSH SSH daemon configuration file

Premières lignes respectives des pages man de ssh_config et sshd_config.

Je savais pas qu el'on pouvais faire un man sur un fichuer de conf

Merci à tous

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 29/05/2017, à 12:21

changement de port ssh

#2 Le 29/05/2017, à 14:37

Re : changement de port ssh

#3 Le 29/05/2017, à 14:55

Re : changement de port ssh

#4 Le 29/05/2017, à 14:57

Re : changement de port ssh

#5 Le 29/05/2017, à 16:03

Re : changement de port ssh

#6 Le 29/05/2017, à 16:18

Re : changement de port ssh

#7 Le 29/05/2017, à 16:34

Re : changement de port ssh

#8 Le 29/05/2017, à 16:43

Re : changement de port ssh

#9 Le 29/05/2017, à 20:56

Re : changement de port ssh

#10 Le 29/05/2017, à 21:44

Re : changement de port ssh

#11 Le 29/05/2017, à 21:45

Re : changement de port ssh

#12 Le 29/05/2017, à 21:53

Re : changement de port ssh

#13 Le 29/05/2017, à 21:59

Re : changement de port ssh

#14 Le 30/05/2017, à 16:40

Re : changement de port ssh

#15 Le 31/05/2017, à 10:47

Re : changement de port ssh

#16 Le 31/05/2017, à 12:03

Re : changement de port ssh

#17 Le 31/05/2017, à 12:08

Re : changement de port ssh

#18 Le 31/05/2017, à 12:22

Re : changement de port ssh

#19 Le 31/05/2017, à 12:25

Re : changement de port ssh

#20 Le 31/05/2017, à 13:41

Re : changement de port ssh

#21 Le 31/05/2017, à 13:56

Re : changement de port ssh

#22 Le 31/05/2017, à 14:20

Re : changement de port ssh

#23 Le 31/05/2017, à 14:34

Re : changement de port ssh

#24 Le 31/05/2017, à 17:55

Re : changement de port ssh

Pied de page des forums