Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Conflitti di Porta SSH: Come Identificare e Cambiare le Porte

Risolvi i frustranti problemi di connessione SSH causati da conflitti di porta. Questa guida spiega come identificare in modo definitivo la porta SSH attiva utilizzando comandi di sistema (`ss`/`netstat`) e fornisce una metodologia sicura passo dopo passo per modificare il file di configurazione (`sshd_config`) e aggiornare i firewall per passare a un nuovo numero di porta, prevenendo blocchi.

Conflitti di Porta SSH: Come Identificare e Cambiare le Porte

Normalmente SSH ascolta sulla porta TCP 22, ma i server reali non sono sempre così ordinati. Un'immagine cloud potrebbe avere SSH spostato sulla 2222. Un host container potrebbe pubblicare diversi servizi simili a SSH attraverso porte differenti. Uno script di hardening potrebbe aver modificato sshd_config mesi fa. Oppure sshd potrebbe semplicemente non avviarsi perché un altro processo è già vincolato allo stesso indirizzo e porta.

I problemi di porta di solito si manifestano come Connection refused o Connection timed out. La differenza è importante: rifiutato di solito significa che hai raggiunto l'host ma nessun servizio ha accettato la connessione su quella porta. Timeout di solito significa che un firewall, una rotta, un gruppo di sicurezza o un percorso di rete ha bloccato il traffico.

Comprendere i Conflitti di Porta SSH

Un conflitto di porta si verifica quando due servizi di rete distinti tentano di ascoltare le connessioni in arrivo sullo stesso identico numero di porta TCP o UDP. Poiché un solo processo può associarsi a una porta specifica su un indirizzo IP in un dato momento, il secondo servizio che tenta di avviarsi di solito fallisce o passa a una porta diversa se configurato per farlo.

Per SSH, un vero conflitto di bind significa che sshd non può ascoltare sull'indirizzo e sulla porta configurati. Un problema più comune è più semplice: SSH ascolta su una porta, mentre il client o il firewall ne usano un'altra.

Problemi Comuni di Connessione Relativi alle Porte

Quando si risolvono i problemi di connettività SSH, i problemi di porta spesso si manifestano come:

  1. Connessione Rifiutata: Di solito significa che la macchina di destinazione è raggiungibile, ma nessun servizio è in ascolto attivo sulla porta specificata (è stata usata la porta sbagliata o il servizio SSH non è riuscito ad avviarsi).
  2. Connessione in Timeout: Spesso indica che il traffico destinato a quella porta viene bloccato da un firewall (host o di rete) o che l'host stesso non è raggiungibile.

Passo 1: Identificare la Porta SSH Attualmente Attiva

Prima di apportare modifiche, devi confermare su quale porta il demone SSH sta effettivamente ascoltando. Questo richiede accesso amministrativo (di solito tramite console o una connessione esistente riuscita).

A. Controllare il File di Configurazione SSH

La posizione principale per la configurazione SSH è il file sshd_config. La direttiva Port specifica su quale porta sshd ascolta.

Posizione: /etc/ssh/sshd_config (Comune sui sistemi Linux/Unix)

Usa un editor di testo come nano o vim per ispezionare il file:

sudo nano /etc/ssh/sshd_config

Cerca la riga che inizia con Port. Se è commentata, OpenSSH usa la porta predefinita 22 a meno che un altro file di configurazione incluso non la sovrascriva.

#Port 22
Port 2222

Controlla anche i frammenti di configurazione inclusi:

grep -R "^[[:space:]]*Port" /etc/ssh/sshd_config /etc/ssh/sshd_config.d 2>/dev/null

B. Controllare i Socket di Ascolto con netstat o ss

Il modo più autorevole per confermare su quale porta il servizio è attualmente associato è controllare i socket di ascolto di rete del sistema operativo. Lo strumento moderno è ss, ma netstat è ancora ampiamente disponibile.

Usando il comando ss (Consigliato sui sistemi moderni):

Questo comando mostra tutti i listener TCP (-t), inclusi i processi (-p), filtrando per il servizio SSH (grep sshd).

sudo ss -tlpn | grep sshd

Esempio di Output (Porta Predefinita):

LISTEN 0      128    0.0.0.0:22               0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Esempio di Output (Porta Personalizzata 2222):

LISTEN 0      128    0.0.0.0:2222             0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Usando netstat (Alternativa):

sudo netstat -tulpn | grep sshd

Una volta identificata la porta (es., 2222), devi usare quel numero di porta quando ti connetti da un client remoto.

Passo 2: Cambiare la Porta SSH in Modo Sicuro

Cambiare la porta SSH è una pratica comune di hardening della sicurezza. Fondamentalmente, non cambiare mai la porta prima di aver verificato che la nuova configurazione funzioni, altrimenti rischi di bloccarti fuori.

A. La Sequenza Sicura per Cambiare le Porte

Segui questi passaggi con precisione per evitare di perdere l'accesso:

  1. Verifica l'Accesso del Firewall: Assicurati che la nuova porta sia aperta nel firewall dell'host (es., ufw o firewalld) prima di riavviare il servizio SSH.
  2. Modifica la Configurazione: Modifica /etc/ssh/sshd_config con il nuovo numero di porta.
  3. Testa la Sintassi della Configurazione: Testa la sintassi della configurazione prima di riavviare.
  4. Riavvia il Servizio SSH: Applica le modifiche.
  5. Testa la Connessione Remota: Tenta immediatamente di connetterti usando la nuova porta da una sessione terminale separata.
  6. Rimuovi la Vecchia Regola della Porta (Opzionale): Una volta verificato, chiudi la vecchia porta (22) nel firewall.

B. Modificare /etc/ssh/sshd_config

Usa il tuo editor preferito per aprire il file di configurazione:

sudo nano /etc/ssh/sshd_config

Trova la riga Port. Cambia il valore esistente o decommenta/aggiungi una nuova direttiva Port. Cambiamo da 22 a 2222.

# Cambia questa riga:
Port 2222

Salva e chiudi il file.

C. Aggiornare i Firewall dell'Host (Passaggio Cruciale)

Se salti questo passaggio, la tua connessione fallirà con un timeout dopo il riavvio del servizio.

Usando UFW (Ubuntu/Debian):

# 1. Permetti la nuova porta
sudo ufw allow 2222/tcp

# 2. Se desideri rimuovere la vecchia regola della porta in seguito (dopo il test):
# sudo ufw delete allow 22/tcp

sudo ufw status verbose

Usando Firewalld (RHEL/CentOS/Fedora):

# 1. Permetti la nuova porta in modo permanente
sudo firewall-cmd --permanent --add-port=2222/tcp

# 2. Ricarica le regole del firewall
sudo firewall-cmd --reload

D. Testare e Ricaricare il Demone SSH

Testa sempre la sintassi del file di configurazione prima di applicare le modifiche:

sudo sshd -t

Se la sintassi è pulita, ricarica o riavvia il servizio:

sudo systemctl reload sshd
# Se il tuo sistema usa il nome del servizio ssh invece:
# sudo systemctl reload ssh

Poi controlla lo stato:

sudo systemctl status sshd

Lascia aperta la tua sessione SSH corrente e testa la nuova porta da un terminale separato prima di chiudere qualsiasi cosa.

E. Connettersi tramite la Nuova Porta

Dalla tua macchina client, ora devi specificare esplicitamente la nuova porta usando il flag -p con il comando ssh:

ssh username@your_server_ip -p 2222

Se la connessione riesce, il cambio di porta ha funzionato. Solo allora dovresti rimuovere la vecchia regola del firewall.

Avvertenza: Se cambi la porta e non la apri nel firewall, o se sshd non riesce a ricaricarsi, potresti bloccarti fuori. Tieni disponibile una console, una seriale, un ripristino cloud o un altro percorso amministrativo.

Risoluzione dei Problemi di Connessione Dopo Aver Cambiato le Porte

Se ricevi un errore dopo aver cambiato la porta, segui questa rapida checklist:

Sintomo di Errore Causa(e) Probabile(i)
Connessione Rifiutata 1. sshd non è riuscito ad avviarsi (controlla systemctl status sshd). 2. Hai specificato la porta sbagliata nel comando client. 3. Il firewall permette il traffico sulla vecchia porta (22) ma blocca la nuova porta (2222).
Connessione in Timeout 1. Host non raggiungibile. 2. Il firewall dell'host (UFW/firewalld) sta attivamente scartando i pacchetti per la nuova porta. 3. Il firewall dell'infrastruttura di rete sta bloccando la porta.

Per confermare che il demone sia in ascolto, esegui di nuovo sudo ss -tlpn | grep sshd sul lato server.

Un Modo Più Sicuro di Pensare ai Cambi di Porta

Non fidarti solo del file di configurazione e non fidarti solo del firewall. Conferma tutti e tre i livelli: sshd_config dice la porta che ti aspetti, ss mostra sshd effettivamente in ascolto lì, e il firewall o il gruppo di sicurezza cloud permette al traffico di raggiungerla. Quando questi tre concordano, il comando client è semplice:

ssh -p 2222 username@your_server_ip

Cambiare la porta SSH può ridurre le scansioni automatiche rumorose sulla porta 22, ma non sostituisce l'autenticazione tramite chiave, regole firewall sensate, sistemi aggiornati e la disabilitazione del login con password dove appropriato.