За что отвечает порт 445 и как его закрыть

SSH или Secure Shell – это сетевой протокол, который используется для удаленного подключения к системе Linux через защищенный канал с использованием надежной криптографии.

Как изменить SSH порт в Linux

Для того чтобы изменить порт SSH по умолчанию в Linux, нужно открыть файл конфигурации в вашем любимом редакторе следующей командой:

nano /etc/ssh/sshd_config

Найдите и закомментируйте строку начинающуюся с Port 22, путём добавления в начало строки знака #. Ниже добавьте новую строку и укажите в ней номер порта, на который хотите поменять стандартный.

В примере ниже показана настройка службы SSH для работы на порту 3335/TCP. Вы можете выбрать любое значение. Рекомендуется выбирать цифру больше 1024 (чтобы не попасть на стандартный порт используемый другой службой). Максимально возможная цифра – 65535.

#Port 22 Port 3335

Сохраните файл и перезапустите службу SSH, для того чтобы изменения вступили в силу.

Как изменить SSH порт в Linux

systemctl restart ssh

Следующими командами можно проверить, что изменения сохранились корректно и какой порт SSH сейчас используется.

netstat -tlpn| grep ssh ss -tlpn| grep ssh

В дистрибутивах на базе CentOS или RHEL нужно установить пакет policycoreutils и добавить несколько правил в систему безопасности SELinux. Затем перезапустить службу.

yum install policycoreutils semanage port -a -t ssh_port_t -p tcp 3335 semanage port -m -t ssh_port_t -p tcp 3335 systemctl restart sshd

Также, не забудьте добавить правила для файрвола (если он у вас установлен), для того чтобы разрешить входящие подключения через новый порт SSH.

Как проверить, открыт ли порт

Перед тем как закрыть порт вручную, стоит проверить, открыт ли он на данный момент. По умолчанию Windows 10 открывает его. Но некоторые сторонние антивирусы, а точнее — брандмауэры (программы, занимающиеся обеспечением безопасности в сети), могут его закрыть.

Как проверить, открыт ли порт
  1. Разверните поисковую строку Windows, нажав на иконку в виде лупы, находящуюся в левом нижнем углу экрана. Введите запрос cmd и разверните командную строку с правами администратора, кликнув по ней правой клавишей мыши.Запускаем командную строку от имени администратора
  2. Пропишите команду netstat –na и выполните её. На экране появится список портов и их состояние. Отыщите строку, относящуюся к порту , и посмотрите в графу «Состояние» (последний столбец). Если там указано слово Listening, то есть «слушается», порт открыт и придётся закрывать его самостоятельно.Выполняем запрос nestat -na
Как проверить, открыт ли порт

Как просмотреть файл в Linux с прокруткой

Бывает, что текстовый файл большой, поэтому его содержимое не помещается в один экран. Использовать в таком случае cat неудобно, зато есть less. Синтаксис у неё такой же:

Читайте также:  Анонсирована Apple iOS 13: главные новые функции

less <путь_к_файлу/имя_файла>

Команда less обеспечит постраничный просмотр, что очень удобно. При этом: 1) less позволяет просматривать текст по определённому числу строк, для чего достаточно указать — (тире или минус) и количество строк:

less -5

Как просмотреть файл в Linux с прокруткой

2) можно начать просмотр с конкретной строки в файле, указав + (плюс) и номер строки, с которой хотим начать чтение:

less +5

Открыв текст, мы можем управлять его просмотром:

Установка knockd

Чтобы продемонстрировать стук портов, мы собираемся использовать его для управления портом 22, который является портом SSH. Мы будем использовать инструмент под названием knockd . Используйте apt-get для установки этого пакета в вашу систему, если вы используете Ubuntu или другой дистрибутив на основе Debian. В других дистрибутивах Linux используйте инструмент управления пакетами вашего дистрибутива Linux.

Введите следующее:

sudo apt-get установить knockd

Возможно, в вашей системе уже установлен брандмауэр iptables , но вам может потребоваться установить пакет iptables-persistent . Он обрабатывает автоматическую загрузку сохраненных правил iptable .

Введите следующее, чтобы установить его:

sudo apt-get установить iptables-persistent

Когда появится экран конфигурации IPV4, нажмите клавишу пробела, чтобы принять опцию «Да».

Снова нажмите клавишу пробела на экране конфигурации IPv6, чтобы принять опцию «Да» и двигаться дальше.

Следующая команда указывает iptables разрешить продолжение установленных и текущих соединений. Теперь мы выполним другую команду, чтобы закрыть порт SSH.

Если кто-то подключается через SSH при выполнении этой команды, мы не хотим, чтобы его отключали:

sudo iptables -A INPUT -m conntrack —ctstate УСТАНОВЛЕНО, СВЯЗАНО -j ПРИНЯТЬ

Эта команда добавляет правило брандмауэра, которое гласит:

  • -A : добавить правило в таблицу правил брандмауэра. То есть, добавьте это в основание.
  • INPUT : это правило о входящих соединениях.
  • -m conntrack : правила брандмауэра действуют на сетевой трафик (пакеты), которые соответствуют критериям в правиле. Параметр -m заставляет iptables использовать дополнительные модули сопоставления пакетов — в этом случае тот, который называется conntrack работает с возможностями отслеживания сетевых подключений ядра.
  • –Cstate ESTABLISHED, RELATED : указывает тип соединения, к которому будет применяться правило, а именно соединения ESTABLISHED и RELATED. Установленное соединение уже установлено. Связанное соединение — это соединение, созданное в результате действия установленного соединения. Возможно, кто-то, кто подключен, хочет скачать файл; это может произойти через новое соединение, инициированное хостом.
  • -j ПРИНЯТЬ : если трафик соответствует правилу, перейти к цели ПРИНЯТЬ в брандмауэре. Другими словами, трафик принимается и разрешается проходить через брандмауэр.

Теперь мы можем выполнить команду, чтобы закрыть порт:

sudo iptables -A INPUT -p tcp —dport 22 -j ОТКАЗАТЬ

Эта команда добавляет правило брандмауэра, которое гласит:

  • -A : добавить правило в таблицу правил брандмауэра, т.е. добавить его внизу.
  • INPUT : это правило касается входящих соединений.
  • -p tcp : это правило применяется к трафику, который использует протокол управления передачей.
  • –Dport 22 : Это правило особенно применимо к трафику TCP, который нацелен на порт 22 (порт SSH).
  • -j REJECT : если трафик соответствует правилу, перейдите к цели REJECT в брандмауэре. Таким образом, если трафик отклонен, он не разрешен через брандмауэр.

Мы должны запустить демон netfilter-persistent . Мы можем сделать это с помощью этой команды:

sudo systemctl start netfilter-persistent

Мы хотим, чтобы netfilter-persistent проходил цикл сохранения и перезагрузки, поэтому он загружает и контролирует правила iptable .

Введите следующие команды:

sudo netfilter-persistent save

sudo netfilter-persistent reload

Теперь вы установили утилиты, и порт SSH закрыт (надеюсь, без прерывания чьего-либо соединения). Теперь пришло время настроить секретный стук.

Пример

Задача 1: оставить открытыми для всего интернета 80, 443 и 3389 порты. Все остальные закрыть. 1. Создать новое правило для входящих подключений 2. Тип правила (Rule Type). Настраиваемые (Custom) 3. Программа (Program). Все программы (All programs) 4. Протокол и порты (Protocol and Ports). Тип протокола (Protocol type) — TCP. Локальный порт (Local port) — Специальные порты (Specific Ports). В поле вписать диапазон портов, за исключением 80, 443 и 3389. Должно выглядеть так — 1-79, 81-442, 444-3388, 3390-65535 5. Область (Scope). Локальный (local) — Любой IP-адрес (Any IP address). Удаленный (remote) — Любой IP-адрес (Any IP address). 6. Действие (Action). Блокировать подключение (Block the connection). 7. Профиль (Profile). Выбрать на свое усмотрение. Если не уверен, то выбрать все. 8. Имя (Name). Назвать его, например, Block_TCP.

Читайте также:  Антивирус для "Линукс": обзор, особенности

Теперь указанные порты открыты для всего интернета, но, как минимум, не безопасно открывать всем порт RDP и желательно ограничить подключение только со своих IP адресов.

Задача 2: оставить открытыми для всего интернета 80 и 443 порты. Ограничить подключение на порт 3389 только с разрешенных IP адресов. Все остальные закрыть. Шаги 1-8 аналогичны предыдущей задаче, т.е. создается правило, разрешающее коннект по трем указанным портам. Для фильтрации по IP надо создать второе правило: 9. Создать новое правило для входящих подключений 10. Тип правила. Настраиваемые 11. Программа. Все программы 12. Протокол и порты. Тип протокола — TCP. Локальный порт — специальные порты. Вписать порт 3389 13. Область. Локальный — Любой IP-адрес. Удаленный — Указанные IP-адреса. Сюда вписать белый список IPшников или подсетей, которым разрешен коннект по данному порту 14. Действие. Разрешить подключение. 15. Профиль. Выбрать на свое усмотрение. Если не уверен, то выбрать все. 16. Имя. Назвать его, например, RDP.

Если фильтруемых портов несколько, то создается по одному правилу на каждый порт.

Ну и чтобы стать совсем защищенным — создать правило, блокирующее все UDP соединения.

Заключение

Помимо закрытия самых опасных сетевых портов компьютера необходимо не забывать, что этими действиями не достигается максимальная безопасность для операционной системы.

На вашей Windows необходимо устанавливать присылаемые Microsoft критические пакеты обновлений, антивирусные программы, безопасные браузеры и другое ПО, повышающее безопасность и анонимность.

Предлагаем обсудить в комментариях тему защиты сетевых портов и делиться полезными методами повышения конфиденциальности. Не забудьте отправить ссылку на эту статью вашим друзьям, чтобы они тоже знали, как закрыть открытые порты Windows.

Читайте также:  9 самых крутых фишек AirPods, о которых ты мог не знать

Посмотрите также наше видео, где мы более подробно рассказываем о том, как закрыть уязвимые порты:

Информация о системе

Команда Действие
date показать время и дату
cal показать календарь
uptime проверить аптайм (время безотканой работы)
w покажет количество пользователей, которые в данный момент используют сервер
whoami покажет Ваш логин
finger юзер покажет инфу о пользователе «юзер»
uname -a информация про ядро
cat /proc/cpuinfo информация про CPU
cat /proc/meminfo информация про память
man команда покажет все о команде
df информация о дисках
du покажет, сколько памяти занимает текущий каталог
free сколько памяти используется
whereis программа найдет место расположения программы
which программа определеяет, что «программа» будет запущена первой
vmstat покажет загрузку процессора

Проброс

Открытие и проброс портов – это разные вещи, хоть некоторые их и путают. Когда вы открываете какой-то «вход», то вы делаете это на конкретном устройстве – например, на своём компьютере. Проброс портов – обычно делается на сетевом шлюзе, который из внешней сети принимает какой-то запрос от пользователя. Далее он или разрешает данный запрос, или запрещает. Чаще всего если порт не проброшен, то идет точный запрет, и пользователь не получит ответа.

Например, у вас дома стоит система видеонаблюдения. Сеть камер, подключенных к видеорегистратору, который в свою очередь привязан к интернету с помощью роутера. Камера кстати может быть вообще одна и подключена напрямую к маршрутизатору.

Чтобы просматривать камеру через интернет, отдыхая на Бали или во Вьетнаме, нужно пробросить порт. После проброса, чтобы попасть на камеру, нужно будет зайти в браузер, ввести внешний IP адрес вместе с проброшенным номером, и тогда можно увидеть изображение с камеры.

Проброс

По пробросу у нас уже есть отдельные инструкции на сайте:

  • D-Link
  • ASUS
  • TP-Link
  • Tenda
  • Upvel
  • ZyXEL Keenetic

Если у вас ещё остались вопрос или есть дополнения, то пишите в комментариях.