Auteur Sujet: Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS (Lu 23079 fois)

ppn_sd · « **Réponse #48 le:** 26 janvier 2024 à 10:33:17 »

Citation de: kgersen le 26 janvier 2024 à 07:04:12

Je n'ai rien contre la critique de systemd bien au contraire. la le probleme n'est pas systemd lui meme mais le fait de l'utiliser pour ca et ensuite blâmer systemd ou de mal l'utiliser (modif en dossier lib par exemple).

Désolé d'ajouter une pièce dans la machine, mais c'est bien systemd qui est en cause dans ce thread, avec son fonctionnement stupide qui oblige à déclarer une variable nulle dans la conf /etc pour écraser ensuite avec la même variable la conf par défaut de /lib (cf réponse de mactomac https://lafibre.info/serveur-linux/changer-le-port-de-ssh-ubuntu-24-04/msg1049875/#msg1049875)

Pour le reste, chacun a bien le droit de saisir l'opportunité d'utiliser/tester systemd.socket.

basilix · « **Réponse #49 le:** 21 avril 2024 à 10:02:30 »

Citation de: vivien

Changement de port de SSH, pour limiter d'être la cible des attaques sur le port 22 est une bonne pratique (le port TCP 22 est le port par défaut sur lequel écoute SSH).

J'ai découvert des mentions au moteur de recherche Shodan dans un livre et une vidéo. Cela m'a donné le vague sentiment que chaque machine connectée à l'Internet peut potentiellement être recensée.
Cela peut permettre à des personnes malveillantes ayant ces informations et des compétences en la matière de rechercher et d'exploiter des vulnérabilités systématiquement (de façon ciblée).

Tout cela pour mettre en exergue que les pirates informatiques peuvent en savoir beaucoup et ne pas prendre les choses telles quelles (en déformant).

vivien · « **Réponse #50 le:** 06 mai 2024 à 21:27:35 »

Ubuntu 24.04 est sortie et il faut bien changer le port avec sudo systemctl edit ssh.socket

Pour rappel, le changement est porté par plusieurs objectifs, dont le principal est de réduire l'empreinte mémoire des conteneurs Ubuntu.

vivien · « **Réponse #51 le:** 16 octobre 2024 à 23:15:35 »

La bonne blague : la syntaxe pour changer le port de SSH a changé avec Ubuntu 24.10 !

Upgrade Ubuntu 24.04 ⇒ Ubuntu 24.10 et SSH ne répond plus sur aucun port TCP.

J'ai mis à jour mon tutoriel :

Citation de: vivien le 21 décembre 2023 à 20:50:27

Ubuntu 24.10 Le port d'écoute de SSH se configure dans systemd :
sudo systemctl edit ssh.socket
Ajouter les 4 lignes suivantes :
[Socket]
ListenStream=
ListenStream=0.0.0.0:2222
ListenStream=[::]:2222 (En remplaçant 2222 par le port de votre choix, prendre de préférence un port au-dessus de 10 000)

Application des paramètres : sudo systemctl daemon-reload puis redémarrer le PC (sudo systemctl restart ssh ne semble pas suffisant pour éviter le redméarrage).

Ubuntu 24.04 LTS Le port d'écoute de SSH se configure dans systemd :
sudo systemctl edit ssh.socket
Ajouter les 3 lignes suivantes :
[Socket]
ListenStream=
ListenStream=2222 (En remplaçant 2222 par le port de votre choix, prendre de préférence un port au-dessus de 10 000)

Application des paramètres : sudo systemctl daemon-reload puis redémarrer le PC (sudo systemctl restart ssh ne semble pas suffisant pour éviter le redméarrage).

Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS Le port d'écoute de SSH se configure dans sshd_config
sudo nano /etc/ssh/sshd_config
Changer la ligne #Port 22 par Port 2222, puis redémarrez le PC.

vivien · « **Réponse #52 le:** 16 octobre 2024 à 23:37:09 »

À la question de savoir si la syntaxe d'Ubuntu 24.10 est valide avec Ubuntu 24.04, la réponse est non.

Syntaxe Ubuntu 24.10 sur Ubuntu 24.04 ⇒ SSH n'écoute plus aucun port.
Syntaxe Ubuntu 24.04 sur Ubuntu 24.10 ⇒ SSH n'écoute plus aucun port.

L'absence d'écoute sur aucun port s'explique, car les deux premières lignes, qui demandent de ne plus écouter sur le port 22, sont bien prises en compte.
[Socket]
ListenStream=

simon · « **Réponse #53 le:** 17 octobre 2024 à 09:08:10 »

Il n'y a plus de ssh.service comme avant, qu'on pourrait simplement activer avec systemctl enable ssh ? Donc c'est systemd qui écoute, et qui spawn un process sshd lorsqu'il recoit une connexion ?

C'est dommage, on se prive de toutes les protections anti brute-force ajoutées dans openssh 9.8.

ppn_sd · « **Réponse #54 le:** 17 octobre 2024 à 09:11:51 »

Etonnant cette histoire puisque la documentation de systemd (247 256) ne semble pas avoir varié sur ce point :

ListenStream=, ListenDatagram=, ListenSequentialPacket=
Specifies an address to listen on for a stream (SOCK_STREAM), datagram (SOCK_DGRAM), or sequential packet (SOCK_SEQPACKET) socket, respectively. The address can be written in various formats:
[...]
- If the address string is a single number, it is read as port number to listen on via IPv6. Depending on the value of BindIPv6Only= (see below) this might result in the service being available via both IPv6 and IPv4 (default) or just via IPv6.
- If the address string is a string in the format "v.w.x.y:z", it is interpreted as IPv4 address v.w.x.y and port z.
- If the address string is a string in the format "[ x ]:y", it is interpreted as IPv6 address x and port y.

ppn_sd · « **Réponse #55 le:** 17 octobre 2024 à 09:14:11 »

Citation de: simon le 17 octobre 2024 à 09:08:10

Il n'y a plus de ssh.service comme avant, qu'on pourrait simplement activer avec systemctl enable ssh ? Donc c'est systemd qui écoute, et qui spawn un process sshd lorsqu'il recoit une connexion ?

Ici, vivien ne parle que du fonctionnement du mécanisme socket, qui correspond à ce que tu décris. Le service classique existe encore.

simon · « **Réponse #56 le:** 17 octobre 2024 à 09:29:49 »

Citation de: ppn_sd le 17 octobre 2024 à 09:14:11

Ici, vivien ne parle que du fonctionnement du mécanisme socket, qui correspond à ce que tu décris. Le service classique existe encore.

OK, donc si après upgrade, sshd n'écoute plus, est-ce parce que le service sshd est désactivé ? Car dans les versions précédentes, il était activé automatiquement lors de l'installation d'openssh-server .

vivien · « **Réponse #57 le:** 17 octobre 2024 à 10:02:31 »

S'il n'écoute plus après mise à jour, c'est par ce que la ligne ListenStream=2222 pour définir le port n'est plus reconnue.

Elle est à remplacer par
ListenStream=0.0.0.0:2222
ListenStream=[::]:2222

Une personne qui n'a pas changé le port de SSH n'aura pas de problème.

ppn_sd · « **Réponse #58 le:** 17 octobre 2024 à 10:04:29 »

Citation de: vivien le 17 octobre 2024 à 10:02:31

S'il n'écoute plus après mise à jour, c'est par ce que la ligne ListenStream=2222 pour définir le port n'est plus reconnue.

Ce qui est un bug, au vu de la documentation.

J'adore la conclusion de ce ticket :

Citer

Rebuilding applications from sources seems to fix the issue.

Trop de patchs tue le patch.

Free_me · « **Réponse #59 le:** 17 octobre 2024 à 15:06:30 »

bon ben deja avoir ssh d'ouvert sur le net c'est assez bof bof
et en plus essayer de se planquer en changer le port...

je sais pas ce qui est plus pire