华为防火墙更改SSH端口

分公司新上一台华为防火墙,为了方便管理,在公网接口开启了SSH,默认的端口是TCP的22端口。配置完成,可以正常访问了,可接下来问题来了,使用WEB端登录或者SSH老弹出密码验证失败,搞得我都开始怀疑人生了。
好在业务能正常运行,过了大半个小时,再登录,可以正常登录了,查看日志
Apr 20 2019 23:55:48 USG6300 %%01MANAGER/4/UNLOCK(l)[172]:The user was unlocked. (User Name=admin)
Apr 20 2019 23:24:36 USG6300 %%01MANAGER/3/LOCK(l)[350]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=91.236.116.214)
Apr 20 2019 22:39:14 USG6300 %%01MANAGER/4/UNLOCK(l)[447]:The user was unlocked. (User Name=admin)
Apr 20 2019 22:01:41 USG6300 %%01MANAGER/3/LOCK(l)[508]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=193.201.224.236)

因为在指定的时间内连续3次输入了错误的密码,导致账号被锁定30分钟。

思考了一下原因,是什么问题导致的呢?存在两个可能:

  1. FW的公网接口允许PING,存在被嗅探的可能
  2. 默认的SSH端口没有更改,***者嗅探后,尝试使用弱密码或者字典登录

那怎么解决这个问题呢?
肯定是更改配置,将公网的PING关闭,更改SSH的端口。

  1. 在网络-->接口处,找到公网接口,关闭PING
  2. 更改默认的SSH端口

接下来,在内网使用ssh到LAN的9022端口,可以登录了。再测试公网的9022,发现无法登录,是 什么原因导致的呢?

我们更改了SSH协议的端口,也就意味着从untrust-->local 9022的安全策略要被放行,原来在接口下允许的 service-manager ssh permit,应该是自动生成了一条去往从untrust-->loal 22的隐含的策略。我们应该自己创建一条安全策略,应该就可以访问了。

  1. 首先需要创建一个服务
  2. 创建一条安全策略

再进行测试,从公网可以通过SSH进行访问了,在经历关闭PING、更改SSH端口后,暂时没有发现***者尝试登录了,问题解决。

原文地址:https://blog.51cto.com/liu008qing/2382358

时间: 2024-10-11 05:20:28

华为防火墙更改SSH端口的相关文章

CentOS6.5更改ssh端口问题

今天更改ssh端口时,发现更改后重启sshd服务不生效,经过测试sshd端口更改为1024以下的端口不生效,更改为1024及以上的端口则可以生效. 这就奇怪了,只要端口不冲突,ssh端口理论上是可以修改为任意值的.不过据说建议我们使用1024以上 的端口,难道真是这个原因?重启下系统试试还是不可以,突然想到一件事-selinux.难道是这个在捣乱.使用命令getenforce查看发现selinux在开着,使用setenforce 0 命令将其临时关闭,再到/etc/ssh/sshd_config

CentOS7如何更改SSH端口

修改SSH端口配置文件,新增Port 如14322 注:相同目录下还有一个相似文件/etc/ssh/ssh_config请不要修改错文件 [[email protected] ~]# vi /etc/ssh/sshd_config # Port 14322 #Port 22 修改selinux中ssh_port_t默认端口,新增14322端口 semanage port -a -t ssh_port_t -p tcp 14322 如提示没有semanage命令,请先安装包 yum install

CentOS更改ssh端口

https://blog.csdn.net/lukaixiao/article/details/74852375  来源处处. 注意!这里的Centos版本是7 step1 修改SELinux echo "查看当前SElinux 允许的ssh端口:" semanage port -l | grep ssh echo "添加555端口到 SELinux" semanage port -a -t ssh_port_t -p tcp 555 echo "然后确认

Linux 更改SSH端口

Windows服务器的默认远程管理端口是3389,Linux服务器的默认端口是22.如果在公网上,经常会被工具扫,这是不安全的,为了系统安全,需要更改默认的配置. 下面是操作过程以Centos6.5为例: [[email protected] ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori   更改配置前备份 [[email protected] ~]# vi /etc/ssh/sshd_config                   

Linux SSH端口更改和SSH远程连接服务慢原因排查

Linux SSH端口更改和优化 为什么需要更改SSH默认连接端口 Windows服务器的默认远程管理端口是3389,Linux服务器的默认端口是22.如果在公网上,经常会被工具扫,这是不安全的,为了系统安全,需要更改默认的配置. Linux 6 操作过程 更改配置文件 # cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori 更改配置前备份 # vi /etc/ssh/sshd_config 编辑sshd_config ####添加如下内容####

更改ssh,ftp默认端口

1.  更改ssh端口 放置升级openssh之后做此步骤 配置文件/etc/ssh/sshd_config 注释掉Subsystem      sftp    /usr/libexec/openssh/sftp-server 取消“#Port 22”   的#号,下面新加一行 Port 2554 修改/etc/service,将ftp和ssh的端口改成2553和2554. #vim /etc/services ftp    2553/tcp ftp    2553/udp ssh    255

ansible控制已修改过SSH端口的机器

有些服务器会更改SSH端口,更改方法如下: sshd_config #Port 22 Port 65535 更改后使用新方式进行修改配置文件 ssh-copy-id "-p port [email protected]" ssh-copy-id "-p 65535 [email protected]" 配置ansible的hosts配置文件 [port] 192.168.3.102 [port:vars] ansible_ssh_user="user&qu

华为防火墙的管理方式(Console、Telnet、Web、SSH)

一.华为防火墙设备的管理方式 1.AAA介绍 AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务.其中: 验证:哪些用户可以访问网络服务器. 授权:具有访问权限的用户可以得到哪些服务,有什么权限. 记账:如何对正在使用网络资源的用户进行审计. AAA服务器通常同网络访问控制.网关服务器.数据库及用户信息目录等协同工作.

juniper srx 更改默认ssh端口

juniper srx系列防火墙默认ssh管理的端口是无法更改的,但要想使用其它端口实现ssh管理,可通过将外网的其它端口映射到环回接口的22端口实现 思路: 1.新建环回接口并配置IP地址 2.将环回接口划入到loopback_zone 这个安全域,并在接口层面开放ssh管理 3.配置端口映射,将外网端口22222映射环回接口端口22上 4.放行untrust到loopbaco_zone ssh的流量 实验配置: set version 12.1X47-D20.7 set system roo