Cambiar puerto 22 del servidor ssh

Si queremos tener ms seguridad en nuestro servidor, un truco fcil es el de cambiar el puerto del servidor ssh. Por defecto, la conexin se hace en el puerto 22, que es uno de los puertos ms utilizados por scripts maliciosos para realizar ataques por fuerza bruta o denegacin de servicio. Cambiamos el puerto 22 por otro distinto, recomendado en algunos
casos cambiar a un puerto entre 49152 y 65534 sshd_config es el archivo de configuracin del servidor ssh_config es el archivo de configuracin del cliente

Cambiar el puerto del ssh es tan sencillo como hacer lo siguiente:

1 nano /etc/ssh/sshd_config

Editamos la linea dice

1 #Port 22

La descomentamos (quitamos la almoadilla) y cambiamos el 22 por el puerto que queramos. Nos tenemos que asegurar de que el puerto que elijamos no est ya en uso (Aqu tenemos una lista de puertos). Por ejemplo, si elegimos el puerto 27, la lnea quedar:
1 Port 27

Ahora editamos el archivo /etc/services

1 nano /etc/services

buscamos las lneas:

1 ssh 2 ssh 22/tcp 22/udp

y las cambiamos por el nuevo puerto que hemos seleccionado antes:

1 ssh 2 ssh 27/tcp 27/udp

Ahora paramos e iniciamos el servidor ssh:

1 /etc/init.d/ssh stop 1 /etc/init.d/ssh start

Ahora reiniciamos SSH para que lea la nueva configuracin:

/etc/init.d/ssh restart service sshd restart

Y ya lo tenemos. A partir de ahora, cuando queramos acceder a nuestro servidor mediante ssh, deberemos especificar el puerto por el que nos queremos conectar. Por ejemplo:
1 ssh usuario@192.168.1.100 -p27

Puede que te salte algn error relacionado con las public keys. Es normal, ya que anteriormente ha detectado movimiento en el puerto 22. Simplemente hay que borrar esos public keys:
1 rm ~/.ssh/known_hosts

A partir de ahora tendremos nuestro servidor ssh un poco ms seguro

Shorewall.

Edite el archivo /etc/shorewall/rules:

vim /etc/shorewall/rules

Las reglas corresponderan a algo similar a lo siguiente:

#ACTION SOURCE DEST PROTO # ACCEPT net fw tcp #LAST LINE -- ADD YOUR ENTRIES REMOVE DEST SOURCE PORT PORT(S)1 22 BEFORE THIS ONE -- DO NOT

Si la red de rea local (LAN) va a acceder hacia el servidor recin configurado, es necesario abrir el puerto correspondiente.
#ACTION SOURCE DEST # ACCEPT net fw ACCEPT loc fw #LAST LINE -- ADD YOUR REMOVE PROTO DEST SOURCE PORT PORT(S)1 tcp 22 tcp 22 ENTRIES BEFORE THIS ONE -- DO NOT

O bien, hacer todo lo anterior, con una sola regla, que permita el acceso desde cualquier zona del muro cortafuegos:
#ACTION SOURCE DEST # PROTO DEST PORT SOURCE PORT(S)1

ACCEPT all fw tcp 22 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Si se decidi ofuscar el puerto de SSH, puede utilizar la siguiente regla, donde, en lugar de 52341, deber especificar el puerto que haya elegido:
#ACTION SOURCE DEST PROTO # ACCEPT all fw tcp #LAST LINE -- ADD YOUR ENTRIES REMOVE DEST SOURCE PORT PORT(S)1 52341 BEFORE THIS ONE -- DO NOT

Al terminar de configurar las reglas para Shorewall, reinicie el muro cortafuegos, ejecutando el siguiente mandato:
service shorewall restart

VER PUERTOS http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers