DevOps Wissensdatenbank
DevOps Wissensdatenbank

SSH-Port-Konflikte: So identifizieren und ändern Sie Ports

Beheben Sie frustrierende SSH-Verbindungsprobleme, die durch Port-Konflikte verursacht werden. Dieser Leitfaden beschreibt detailliert, wie der aktive SSH-Port mithilfe von Systembefehlen (`ss`/`netstat`) eindeutig identifiziert werden kann, und bietet eine schrittweise, sichere Methode zum Ändern der Konfigurationsdatei (`sshd_config`) und zum Aktualisieren von Firewalls, um zu einer neuen Portnummer zu wechseln und Sperrungen zu verhindern.

36 Aufrufe

SSH-Portkonflikte: Ports identifizieren und ändern

Das Secure Shell (SSH)-Protokoll ist das Fundament für sicheren Fernzugriff und die Verwaltung von Servern weltweit. Standardmäßig läuft SSH über den TCP-Port 22. In komplexen Netzwerkkonfigurationen, Multi-Server-Setups oder Umgebungen, die Sicherheit durch Verschleierung priorisieren, kann dieser Standardport jedoch neu zugewiesen werden. Wenn ein System versucht, eine Verbindung zu einem SSH-Server herzustellen, der auf einem nicht standardmäßigen Port läuft – oder wenn zwei verschiedene Dienste versuchen, sich an denselben Port zu binden – tritt ein Portkonflikt auf, der oft zu frustrierenden Fehlermeldungen wie "Verbindung verweigert" oder Timeouts führt.

Diese Anleitung führt Sie durch die wesentlichen Schritte, um zu diagnostizieren, ob ein SSH-Portkonflikt die Ursache für Ihre Verbindungsprobleme ist. Noch wichtiger ist, dass wir praktische, umsetzbare Anweisungen geben, wie Sie den aktuell aktiven SSH-Port sicher überprüfen und wie Sie ihn in der Hauptkonfigurationsdatei ändern können, um eine reibungslose und sichere Fernverwaltung zu gewährleisten.

SSH-Portkonflikte verstehen

Ein Portkonflikt entsteht, wenn zwei verschiedene Netzwerkdienste versuchen, auf demselben TCP- oder UDP-Portnummer auf eingehende Verbindungen zu lauschen. Da zu einem bestimmten Zeitpunkt nur ein Prozess an einen bestimmten Port einer IP-Adresse gebunden werden kann, wird der zweite Dienst, der versucht zu starten, normalerweise fehlschlagen oder, falls so konfiguriert, auf einen anderen Port ausweichen.

Wenn für SSH der Standardport 22 bereits von einem anderen Dienst verwendet wird (obwohl dies bei Standard-OS-Installationen selten vorkommt), schlägt der SSH-Daemon (sshd) fehl, was zu Verbindungsfehlern führt. Umgekehrt, wenn Sie sshd manuell so konfiguriert haben, dass es einen benutzerdefinierten Port (z. B. 2222) verwendet, aber immer noch versuchen, sich über Port 22 zu verbinden, wird die Verbindung von der Firewall zurückgewiesen oder läuft einfach ab.

Häufige Verbindungsprobleme im Zusammenhang mit Ports

Bei der Fehlersuche bei SSH-Verbindungen äußern sich Portprobleme oft als:

  1. Verbindung verweigert: Dies bedeutet normalerweise, dass die Zielmaschine erreichbar ist, aber kein Dienst auf dem angegebenen Port aktiv lauscht (entweder wurde der falsche Port verwendet oder der SSH-Dienst konnte nicht gestartet werden).
  2. Verbindungs-Timeout: Dies deutet oft darauf hin, dass der Datenverkehr für diesen Port durch eine Firewall (entweder Host-basiert oder Netzwerk-basiert) blockiert wird oder dass der Host selbst nicht erreichbar ist.

Schritt 1: Den aktuell aktiven SSH-Port identifizieren

Bevor Sie Änderungen vornehmen, müssen Sie bestätigen, welchen Port der SSH-Daemon tatsächlich verwendet. Dies erfordert Administratorzugriff (normalerweise über die Konsole oder eine bestehende erfolgreiche Verbindung).

A. Überprüfung der SSH-Konfigurationsdatei

Der primäre Speicherort für die SSH-Konfiguration ist die Datei sshd_config. Die Port-Direktive gibt an, auf welchem Port sshd lauscht.

Speicherort: /etc/ssh/sshd_config (Üblich auf Linux/Unix-Systemen)

Verwenden Sie einen Texteditor wie nano oder vim, um die Datei zu inspizieren:

sudo nano /etc/ssh/sshd_config

Suchen Sie nach der Zeile, die mit Port beginnt. Wenn sie auskommentiert ist (beginnt mit einem #), lautet der Standardwert 22. Wenn eine Zahl vorhanden ist, ist dies der aktive Port.

#Port 22  <-- Standardmäßig 22, wenn nicht auskommentiert oder wenn diese Zeile fehlt
Port 2222 <-- Dieser Server ist so konfiguriert, dass er Port 2222 verwendet

B. Überprüfung lauschender Sockets mit netstat oder ss

Der maßgeblichste Weg, um zu bestätigen, an welchem Port der Dienst derzeit gebunden ist, ist die Überprüfung der Netzwerk-lauschenden Sockets des Betriebssystems. Das moderne Werkzeug ist ss, aber netstat ist immer noch weit verbreitet.

Verwendung des ss-Befehls (empfohlen auf modernen Systemen):

Dieser Befehl zeigt alle TCP-Listener (-t) an, einschließlich der Prozesse (-p), und filtert nach dem SSH-Dienst (grep sshd).

# Zeigt TCP-lauschende Ports an, einschließlich der Prozess-ID, die den Port verwendet
sudo ss -tlpn | grep sshd

Beispielausgabe (Standardport):

LISTEN 0      128    0.0.0.0:22               0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Beispielausgabe (Benutzerdefinierter Port 2222):

LISTEN 0      128    0.0.0.0:2222             0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Verwendung von netstat (Alternative):

sudo netstat -tulpn | grep sshd

Sobald Sie den Port identifiziert haben (z. B. 2222), müssen Sie diesen Port beim Verbindungsaufbau von einem entfernten Client aus verwenden.

Schritt 2: SSH-Port sicher ändern

Das Ändern des SSH-Ports ist eine gängige Maßnahme zur Verbesserung der Sicherheit. Ändern Sie den Port auf keinen Fall, bevor Sie nicht sichergestellt haben, dass Ihre neue Konfiguration funktioniert, sonst riskieren Sie, sich auszusperren.

A. Die sichere Reihenfolge für das Ändern von Ports

Befolgen Sie diese Schritte genau, um den Zugriff nicht zu verlieren:

  1. Firewall-Zugriff prüfen: Stellen Sie sicher, dass der neue Port in Ihrer Host-basierten Firewall (z. B. ufw oder firewalld) geöffnet ist, bevor Sie den SSH-Dienst neu starten.
  2. Konfiguration bearbeiten: Ändern Sie /etc/ssh/sshd_config auf die neue Portnummer.
  3. Konfigurationssyntax testen: Testen Sie die Konfigurationssyntax vor dem Neustart.
  4. SSH-Dienst neu starten: Wenden Sie die Änderungen an.
  5. Fernverbindung testen: Versuchen Sie sofort, sich über den neuen Port von einer separaten Terminalsitzung aus zu verbinden.
  6. Alte Portregel entfernen (optional): Sobald die Überprüfung erfolgreich war, schließen Sie den alten Port (22) in der Firewall.

B. Bearbeiten von /etc/ssh/sshd_config

Verwenden Sie Ihren bevorzugten Editor, um die Konfigurationsdatei zu öffnen:

sudo nano /etc/ssh/sshd_config

Suchen Sie die Zeile Port. Ändern Sie den vorhandenen Wert oder kommentieren Sie eine neue Port-Direktive aus/hinzu. Ändern wir von 22 auf 2222.

# Ändern Sie diese Zeile:
Port 2222

Speichern und schließen Sie die Datei.

C. Host-basierte Firewalls aktualisieren (entscheidender Schritt)

Wenn Sie dies überspringen, schlägt Ihre Verbindung nach dem Neustart des Dienstes mit einem Timeout fehl.

Verwendung von UFW (Ubuntu/Debian):

# 1. Den neuen Port zulassen
sudo ufw allow 2222/tcp

# 2. Wenn Sie die alte Portregel später entfernen möchten (nach dem Testen):
# sudo ufw delete allow 22/tcp

sudo ufw status verbose

Verwendung von Firewalld (RHEL/CentOS/Fedora):

# 1. Den neuen Port dauerhaft zulassen
sudo firewall-cmd --permanent --add-port=2222/tcp

# 2. Firewall-Regeln neu laden
sudo firewall-cmd --reload

D. SSH-Daemon testen und neu starten

Testen Sie immer die Syntax der Konfigurationsdatei, bevor Sie den Dienst neu starten. Dies verhindert, dass Syntaxfehler Sie aussperren.

# Konfigurationssyntax testen (die spezifische Implementierung kann je nach Distribution variieren)
# Auf Systemen, die systemd verwenden, ist dies oft nicht explizit erforderlich, wenn der Reload funktioniert,
# aber ein einfacher Neustart ist sicherer, wenn Sie größere Änderungen vorgenommen haben.

sudo systemctl restart sshd

# Status prüfen, um sicherzustellen, dass er ohne Fehler gestartet wurde
sudo systemctl status sshd

E. Verbindung über den neuen Port

Von Ihrem Client-Rechner aus müssen Sie nun explizit den neuen Port mit der Option -p im ssh-Befehl angeben:

ssh username@your_server_ip -p 2222

Wenn die Verbindung erfolgreich ist, war die Portänderung erfolgreich! Sie können nun bei Bedarf die alte Portregel aus Ihrer Firewall entfernen.

⚠️ Warnung zu SSH-Portänderungen: Wenn Sie den Port ändern und ihn nicht in der Firewall öffnen, oder wenn der sshd-Dienst nicht neu gestartet werden kann, werden Sie ausgesperrt. Stellen Sie immer sicher, dass Sie Konsolen- oder alternativen Administratorzugriff (wie eine VNC-Sitzung) haben, wenn Sie diese Kern-Netzwerkdienste ändern.

Fehlerbehebung bei Verbindungsfehlern nach Portänderungen

Wenn Sie nach der Portänderung eine Fehlermeldung erhalten, folgen Sie dieser schnellen Checkliste:

Fehlersymptom Wahrscheinliche Ursache(n)
Verbindung verweigert 1. sshd konnte nicht gestartet werden (prüfen Sie systemctl status sshd). 2. Sie haben den falschen Port im Client-Befehl angegeben. 3. Die Firewall lässt Datenverkehr auf dem alten Port (22) zu, blockiert aber den neuen Port (2222).
Verbindungs-Timeout 1. Host ist ausgefallen. 2. Die Host-Firewall (UFW/firewalld) verwirft aktiv Pakete für den neuen Port. 3. Die Netzwerk-Infrastruktur-Firewall blockiert den Port.

Um zu bestätigen, dass der Daemon lauscht, führen Sie auf der Serverseite erneut sudo ss -tlpn | grep sshd aus.

Fazit

SSH-Portkonflikte sind zwar manchmal subtil, aber leicht zu beheben, wenn man versteht, wo sich die Dienstkonfiguration befindet (/etc/ssh/sshd_config) und die aktive Socket-Bindung mit Tools wie ss oder netstat überprüft. Durch einen vorsichtigen, systematischen Ansatz – insbesondere in Bezug auf Firewall-Updates vor dem Neustart des Dienstes – können Sie Ihren SSH-Port sicher ändern, um die Serversicherheit zu verbessern, ohne das Risiko einer administrativen Sperre einzugehen.