Probleme sur le changement port SSH

jojolapatade · July 29, 2017, 9:52pm

Bonjour
J’ai installé la dernière version YunoHost sur un dell poweredge1850 et je n’ai pas réussi a changé le port 22 du ssh. J’ai pu ajouter un port mais celui n’est pas ouvert quand on scrute les ports su serveur.

La version est de YH :
yunohost 2.6.5
yunohost-admin 2.6.2
moulinette 2.6.1
ssowat 2.6.8

J’ai rajouté un port : 38519
L’ajoute du port a été fait via l’interface web
Si je regarde dans iptables on voit bien le port qui a créé

#iptables -L

Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-yunohost tcp – anywhere anywhere multiport dports http,https
fail2ban-nginx tcp – anywhere anywhere multiport dports http,https
fail2ban-dovecot tcp – anywhere anywhere multiport dports smtp,urd,submission,imap2,imap3,imaps,pop3,pop3s
fail2ban-sasl tcp – anywhere anywhere multiport dports smtp,urd,submission,imap2,imap3,imaps,pop3,pop3s
fail2ban-postfix tcp – anywhere anywhere multiport dports smtp,urd,submission
fail2ban-pam-generic tcp – anywhere anywhere
fail2ban-ssh tcp – anywhere anywhere multiport dports ssh
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp – anywhere anywhere tcp dpt:smtp
ACCEPT tcp – anywhere anywhere tcp dpt:domain
ACCEPT tcp – anywhere anywhere tcp dpt:http
ACCEPT tcp – anywhere anywhere tcp dpt:https
ACCEPT tcp – anywhere anywhere tcp dpt:urd
ACCEPT tcp – anywhere anywhere tcp dpt:submission
ACCEPT tcp – anywhere anywhere tcp dpt:imaps
ACCEPT tcp – anywhere anywhere tcp dpt:xmpp-client
ACCEPT tcp – anywhere anywhere tcp dpt:xmpp-server
ACCEPT tcp – anywhere anywhere tcp dpt:38519
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
ACCEPT udp – anywhere anywhere udp dpt:domain
ACCEPT udp – anywhere anywhere udp dpt:mdns
ACCEPT all – anywhere anywhere
ACCEPT icmp – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target
…

Si on regarde avec la Moulinette de YH on voit bien le port créer

#yunohost firewall list

opened_ports:

22
25
53
80
443
465
587
993
5222
5269
5353
- 38519

Mais celui n’est pas ouvert : vérification avec nmap en local et à distance
En LOCAL :

$ nmap -p 22 localhost

Starting Nmap 6.47 ( .http://nmap.org ) at 2017-07-29 23:31 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00012s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds

$ nmap -p 38519 localhost

Starting Nmap 6.47 ( .http://nmap.org ) at 2017-07-29 23:31 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00013s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT STATE SERVICE
38519/tcp closed unknown
Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds
$

A DISTANCE :

#nmap -p 22 jojolapatade.fr

Starting Nmap 5.51.6 ( .http://nmap.org ) at 2017-07-29 23:27 CEST
Nmap scan report for jojolapatade.fr (192.168.1.76)
Host is up (0.00013s latency).
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:13:72:50:29:90 (Dell)
Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

#nmap -p 38519 jojolapatade.fr

Starting Nmap 5.51.6 ( .http://nmap.org ) at 2017-07-29 23:27 CEST
Nmap scan report for jojolapatade.fr (192.168.1.76)
Host is up (0.00016s latency).
PORT STATE SERVICE
38519/tcp closed unknown
MAC Address: 00:13:72:50:29:90 (Dell)
Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Je ne comprends pas pourquoi le port n’as pas ouvert.
Si la box SFR j’ai bien le NAP…

Tant que le port n’est pas ouvert, je ne peux changer le fichier ssh_config.conf pour le changement d’adresse du port.
J’ai quand même modifié ce fichier mais comme le port 38519 n’est pas ouvert je n’ai pas pu avoir une connexion ssh.

Quelqu’un aurait une idée car je suis bloqué.
Merci d’avance

Jonathan

propositionjoe · July 29, 2017, 10:11pm

Salut,
Quand tu dis que tu es “bloqué”;
Tu veux dire que tu n’as plus accès du tout en ssh à ton serveur? Même sur le port 22?
Je ne savais pas qu’on pouvait tripotter sshd sur l’interface admin en tout cas.
Peux-tu donner le message d’erreur?

jojolapatade · July 29, 2017, 10:28pm

Je suis bloqué car je n’arrive pas à ouvrir un autre port.

J’ai toujours accès en ssh port 22 car j’ai pu corriger car le serveur est chez moi donc un clavier et un écran m’a permit de reprendre la main sur le ssh

MaxKoder · July 30, 2017, 3:43am

Salut,

Si ça peut t’aider, j’ai moi même modifié le port d’accès en ssh de mon serveur, grâce à ma box internet (Free ).
J’ai redirigé le port 2250 vers le port 22 de mon serveur, ainsi le port 22 reste fermé sur ma box.

Pour le serveur, ça ne change rien, on travaille toujours sur son port 22.

propositionjoe · July 30, 2017, 5:36am

Content de l’entendre.
Pour changer le port ssh de ton serveur, la méthode classique est de modifier la configuration du service ssh:

Dans un terminal:
nano /etc/ssh/ssh_config

Tu cherches la ligne où il est écrit “Port 22” (ligne 4 normalement), et tu remplaces ce nombre par 38519.
Ensuite: il faut relancer le service ssh avec:
service sshd restart

Attention, tu ne fermes pas ton terminal, il faut tester si ton changement fonctionne, ouvre une nouvelle fenêtre de terminal et tape:
ssh ton-user@l'ip-de-ton-serveur -p 38519

ppr · July 30, 2017, 8:48am

Bonjour @jojolapatade ,

Comme l’a écrit @propositionjoe , c’est la même méthode que j’ai utlisé, et comme lui, il faut tester en ouvrant un autre Terminal et sans fermer le précédent pour tester que tout se passe bien avec le nouveau port.

J’ai écrit quelques lignes ici : http://avignu.wiki.tuxfamily.org/doku.php?id=documentation:yunohost_vps_pingfiles#changer_le_port_d_ecoute_ssh si ça peut t’aider.

Il y a aussi le transfert de port qui peut se jouer au niveau de la box/routeur comme l’a écrit @MaxKoder .
Ca permet de ne pas avoir le port 22 ouvert à tous les vents sur sa box, et sans avoir à éditer la configuration SSH par défaut du serveur YunoHost. Le principe c’est que l’IP_public port 2250 (aaa.bbb.ccc.ddd:2250) est transferée vers le l’IP_privée port 22 de ton serveur (192.168.xxx.yyy:22 de ton serveur) par l’ajout d’une règle sur ta box/routeur (généralement dans le menu du côté des règles NAT/PAT/déclenchement de ports). Il faut pour cela que l’adresse IP_privée de ton serveur soit fixe côté box/routeur. C’est juste un paramètrage à faire comme le transfert/déclenchement de port (souvent dans le menu DHCP il y a moyen d’attribuer une IP_privée fixe à un appareil du réseau).

ppr

jojolapatade · July 30, 2017, 2:17pm

Bonjour MaxKoder,
Oui c’est ce que je pensais faire… via le routeur de la boxe cela fonctionne.

Bonjour propositionjoe
Oui bien sur j’avais redémarré le service
"service sshd restart"
merci pour l’info d’ouvrir une deuxième console, Cela fessait trop longtemps que je n’avais plus configuré un serveur et j’avais oublié ce détail de toujours garder une console ouverte

Bonjour ppr
Merci pour tes liens

Conclusion
J’ai fini par arriver à faire ce que je voulais.
Au final il fallait modifier l’adresse du port sur le fichier sshd_conf et non que sur le fichier le ssh_conf
Je pensais que l’on devait toujours travailler sur le ssh_conf… bref
L’essentiel est que cela fonctionne

Merci à tous de votre réactivité
Jonathan