Zasadniczo istnieją dwa główne powody, dla których ktoś może chcieć uruchomić SSH nasłuchując na wysokim porcie:
- Ponieważ nie jest to „standardowy” port, przypadkowe próby włamania (botnety) rzadziej się z nim łączą
- Jeśli numer portu jest większy niż 1024, demon SSH ma jeden „przywilej rootowania”, któremu należy zaufać
Ponadto, jeśli urządzenie NAT znajduje się przed kilkoma serwerami z uruchomionym SSH, nie może mapować portu 22 na wszystkie z nich, więc w takim przypadku można skonfigurować na przykład przekierowanie portu zewnętrznego 10022 do usługi wewnętrznej 192.0.2.10 : 22 i port zewnętrzny od 11022 do 192.0.2.11:22.
Jednak w przypadku Kippo instalujesz „honeypot SSH”, program, który powinien wyglądać jak wiersz poleceń SSH w użytecznym systemie, ale faktycznie odpowiada powoli i nie robi nic pożytecznego. Chcesz uruchomić to zarówno na zwykłym porcie SSH (22), jak i na często używanym wysokim porcie (2222); w rzeczywistości łatwiej jest uruchomić go jako użytkownika na wysokim porcie, a następnie użyć iptables
do przekierowania niskiego portu do wysokiego portu na tym samym hoście. Możliwe jest również użycie netcat ( nc
) lub xinetd do skonfigurowania przekierowania.
Aby Kippo nasłuchiwał na niskim porcie (bezpośrednio lub poprzez przekierowanie), zwykły systemowy demon SSH nie może już tam słuchać. Ponadto, aby uczynić swój plaster miodu bardziej wiarygodnym, nie chcesz, aby demon systemowy nasłuchiwał na innym „wspólnym” otwartym porcie.
Z punktu widzenia bezpieczeństwa najskuteczniejszym byłoby rzucić kostką, aby wybrać ten alternatywny port, ale RDP raczej nie będzie nasłuchiwał na typowym serwerze Linux, więc jeśli już pamiętasz ten numer portu, fajnie byłoby z nim pracować. Innymi „interesującymi” wyborami mogą być coś w rodzaju 5190 (AOL) lub 1214 (KaZAA).