1. লাইব্রেরি
  2. יציאות
  3. מדריך יציאות נפוצות

פורט 22: SSH (Secure Shell)

আপডেট হয়েছে ১ মাস আগে

פורט 22 הוא המקום שדופקים בו כשצריך לדבר בפרטיות עם מחשב מעבר לאינטרנט.

כפורט ברירת המחדל של SSH (Secure Shell), הוא שער לניהול מרחוק — הדרך שבה מנהלי מערכות, מפתחים וצוותי DevOps מנהלים שרתים בצורה מאובטחת, מעבירים קבצים ויוצרים מנהרות דרך רשתות עוינות. אם אי פעם הקלדת פקודה על שרת שלא יכולת לגעת בו פיזית, SSH הוא שאפשר את זה.

הבעיה שאותה פתר SSH

לפני SSH, גישה מרחוק הייתה מפחידה — אם הבנת מה קורה שם.

Telnet אפשר להתחבר למערכות מרוחקות. FTP אפשר העברת קבצים. שניהם היו מהפכניים — ושניהם שלחו הכול בטקסט גלוי. כל הקשת מקש. כל סיסמה. כל קובץ. כל אחד שהיה על נתיב הרשת בינך לבין השרת יכול היה לראות הכול.

בתחילת 1995, מישהו שתל מרחרח סיסמאות על עמוד השדרה של הרשת באוניברסיטת הלסינקי לטכנולוגיה בפינלנד. לא תוכנה זדונית — חומרה ממשית, שהקליטה בשקט אלפי שמות משתמש וסיסמאות כשעברו ברשת בטקסט גלוי. חלק מאותם פרטי הגישה שייכו לעובדים של חברה שניהל טאטו ילונן, חוקר באוניברסיטה.

תגובתו של ילונן הייתה SSH: פרוטוקול שמצפין את כל השיחה בין לקוח לשרת. אחרי שלושה חודשים של קריפטוגרפיה ותכנות רשתות, SSH 1.0 היה מוכן. הרשת הופכת עיוורת לסודותיך. סיסמאות, פקודות, תכני קבצים — הכול עטוף בהצפנה שהופכת האזנות לחסרות ערך.

למה פורט 22?

יום לפני הכרזת SSH 1.0 ביולי 1995, ילונן שלח מייל ל-IANA וביקש מספר פורט. הוא ביקש ספציפית פורט 22 — הוא היה פנוי, ונמצא בין Telnet (פורט 23) ל-FTP (פורט 21), שני הפרוטוקולים ש-SSH בא להחליף. למחרת, ג'ויס ריינולדס ענתה בחזרה: "הקצינו את מספר הפורט 22 ל-ssh."‏1

כך עבד האינטרנט אז. מייל אחד לאנשים הנכונים, וקיבלת מספר פורט. עד סוף 1995 ל-SSH היו 20,000 משתמשים בחמישים מדינות. עד שנת 2000, שניים מיליון.

מה קורה על פורט 22

כשאתה מקליד ssh user@server.com, הלקוח שלך פונה לפורט 22 של אותו שרת. דמון SSH (תוכנת צד השרת) מאזין. הם מנהלים משא ומתן על הצפנה, מאמתים זה את זהות זה, ומקימים ערוץ מאובטח. מאותו רגע, כל דבר בינך לבין השרת מוצפן.

מה אפשר לעשות דרך אותו ערוץ?

הרצת פקודות מרחוק: מתחברים ומקלידים פקודות כאילו ישבת ליד המקלדת של השרת. כך מנוהלים רוב השרתים — מחשבים חסרי-ממשק במרכזי נתונים, ללא מסך או מקלדת מחוברים אליהם, שמגיבים לפקודות SSH מרחבי העולם.

העברת קבצים: SCP ו-SFTP משתמשים בהצפנה של SSH להעברת קבצים בצורה מאובטחת. פרוטוקול ה-FTP הלא מאובטח היה צריך למות לפני עשורים; SSH נתן לנו את התחליף.

מנהרות: SSH יכול להעביר תעבורה מפורט אחד לאחר, וליצור מעברים מוצפנים דרך הרשת. צריך לגשת לבסיס נתונים שמקבל רק חיבורים מקומיים? תנהר דרך SSH. צריך לנתב תעבורה דרך שרת ביניים? SSH יכול לעשות זאת. זה VPN שאפשר ליצור בפקודה אחת.

פורט 22 נמצא תחת מתקפה מתמדת

הנה אמת לא נוחה: אם אתה חושף את פורט 22 לאינטרנט, תותקף. לא ייתכן שתותקף. תותקף.

בוטים אוטומטיים סורקים את כל האינטרנט ומחפשים פורטי SSH פתוחים. כשהם מוצאים אחד, הם מתחילים לנחש סיסמאות. שמות משתמש נפוצים, סיסמאות נפוצות, מתקפות מילון — אלפי ניסיונות בשעה, כל שעה, לנצח. בדוק את יומני ה-SSH שלך בכל שרת ציבורי ותראה את הראיות: ניסיונות כניסה שנכשלו מכתובות IP מרחבי העולם.

זו הסיבה שאבטחה על פורט 22 חשובה יותר מכמעט כל מקום אחר.

האבטחה שעובדת באמת

אימות מבוסס מפתח: במקום סיסמה, SSH יכול לאמת באמצעות זוגות מפתחות קריפטוגרפיים. אתה שומר את המפתח הפרטי במחשב שלך; השרת מחזיק את המפתח הציבורי. בעת חיבור, אתה מוכיח שאתה מחזיק במפתח הפרטי מבלי לשדר אותו אי פעם. אין סיסמה לנחש. אין אפשרות למתקפת כוח גס. זהו שיפור האבטחה החשוב ביותר שתוכל לעשות.

ביטול אימות סיסמה לחלוטין: ברגע שאימות מבוסס מפתח עובד, כבה את אימות הסיסמה. עכשיו אותם בוטים אוטומטיים מנחשים בפני דלת שאינה קיימת.

ביטול כניסת root: אל תאפשר לאף אחד להתחבר ב-SSH ישירות כ-root. התחבר כמשתמש רגיל, ואז העלה הרשאות עם sudo. רישומי ביקורת טובים יותר, משטח תקיפה קטן יותר.

שמור SSH מעודכן: ל-OpenSSH יש תיעוד אבטחה מצוין, אך פגיעויות מופיעות מעת לעת. עדכן את תוכנת ה-SSH שלך כמו שאתה מעדכן כל דבר אחר שפונה לאינטרנט.

הוויכוח על שינוי פורט

המלצה נפוצה: העבר את SSH מפורט 22 למשהו לא ברור, כמו 2222 או 22222. התיאוריה היא שמתקפות אוטומטיות מכוונות לפורט 22, אז הסתרה על פורט אחר מפחיתה את הרעש.

זוהי "אבטחה דרך אפלה", וחוות הדעות בנושא נחרצות.

המבקרים צודקים שזו לא אבטחה אמיתית. סריקת פורטים תמצא את SSH בכל מקום שתסתיר אותו. תוקף נחוש לא ייפגע מכך.

אבל לתומכים יש גם נקודה: רוב המתקפות אינן נחושות. הן סקריפטים אוטומטיים שפוגעים בפורט 22 על כל כתובת IP שמוצאים. מעבר לפורט חלופי באמת מפחית את נפח המתקפות ב-99%. היומנים שלך נהיים שקטים יותר. השרת שלך מבזבז פחות מעבד בדחיית בקשות פסולות.

תחשוב על זה כמו הסתרת מפתח הבית שלך תחת אבן אחרת. זה לא יעצור פורץ שמכוון ספציפית אליך. אבל זה יעצור את האופורטוניסט העצלן שבודק רק את המקומות הברורים.

לעולם אל תתייחס לשינוי פורט כתחליף לאבטחה אמיתית. אבל כשכבה אחת מבין רבות? יש לו ערך לגיטימי.

SSH בעולם המודרני

תשתית הענן פועלת על SSH. כשאתה מפעיל שרת על AWS, Azure או Google Cloud, כיצד אתה ניגש אליו? מפתחות SSH. כלים לניהול תצורה כמו Ansible מתחברים לשרתים דרך SSH. מפתחים דוחפים קוד דרך Git על SSH. קונטיינרים אולי מחליפים חלק מניהול השרתים המסורתי, אבל SSH נשאר המוצא האוניברסלי — הדרך להיכנס למחשב כשכל השאר נכשל.

ארגונים מסוימים עוברים לקונסולות מבוססות דפדפן וגישה מונעת API למערכות ייצור, ומפחיתים חשיפה ישירה ל-SSH. לגישות אלו יש יתרונות למקרי שימוש ספציפיים. אבל לעתיד הנראה לעין, SSH על פורט 22 נשאר הבסיס לגישה מרחוק לשרת.

למה זה חשוב

פורט 22 מייצג משהו חשוב: היכולת לעבוד בצורה מאובטחת על פני רשתות לא מהימנות.

לפני SSH, ניהול מרחוק חייב אמון בכולם שבין מחשבך לשרת. אמון זה היה מוטעה — רשתות מלאות במאזינים. SSH הסיר את הצורך באמון הזה על ידי הפיכת השיחה לפרטית.

שלושים שנה לאחר מכן, הפרוטוקול עדיין הכרחי. ההצפנה התחזקה, היישומים השתכללו, אך ההבטחה המרכזית נשארה ללא שינוי: אתה יכול לנהל מחשב בצד השני של העולם, ואף אחד שמאזין באמצע לא יבין מילה.

שאלות נפוצות על SSH ופורט 22

למה פורט 22 תמיד ממוקד על ידי האקרים?

פורט 22 הוא ברירת המחדל של SSH, מה שאומר שכל שרת SSH בעולם מאזין שם אלא אם הוגדר אחרת. כלי תקיפה אוטומטיים יודעים זאת, אז הם סורקים קודם כל לפורט 22. שם נמצאות הדלתות, ושם הפורצים דופקים.

האם בטוח לחשוף את פורט 22 לאינטרנט?

עם אבטחה נכונה — אימות מבוסס מפתח, ביטול אימות סיסמה, תוכנה מעודכנת — כן. מיליוני שרתים חושפים את פורט 22 בצורה בטוחה. הסכנה נובעת מתצורות חלשות: אימות סיסמה עם סיסמאות שניתן לנחש, תוכנת SSH מיושנת, או מתן אפשרות כניסה ישירה כ-root. נעל את אלה ופורט 22 יכול לפנות לאינטרנט.

מה ההבדל בין SSH, SCP ו-SFTP?

SSH הוא הפרוטוקול שמקים את החיבור המוצפן. SCP (Secure Copy) ו-SFTP (SSH File Transfer Protocol) הם שיטות העברת קבצים שפועלות על גבי הערוץ המאובטח של SSH. חשוב על SSH כמנהרה מוצפנת; SCP ו-SFTP הם דרכים שונות להעביר קבצים דרך אותה מנהרה.

האם כדאי לשנות את SSH לפורט אחר?

תלוי במודל האיום שלך. שינוי פורטים מפחית דרמטית את רעש המתקפות האוטומטיות אך לא יעצור מתקפות ממוקדות. אם אתה מפעיל שרת אישי ורוצה יומנים שקטים יותר, קדימה. אם אתה מפעיל תשתית קריטית, התמקד באימות מבוסס מפתח וביצור נכון — שינויי פורט הם שכבה שולית, לא פתרון.

מקורות

পূর্ববর্তী

פורט 3306: שרת מסד הנתונים MySQL

পরবর্তী

פורטים 67 ו-68: DHCP

এই পৃষ্ঠাটি কি সহায়ক ছিল?

😔
🤨
😃