Da der SSH-Zugriff der wichtigste Einstiegspunkt für die Verwaltung Ihres Servers ist, ist er zu einem weit verbreiteten Angriffsvektor geworden.
Zu den grundlegenden Schritten zum Sichern von SSH gehören: Deaktivieren des Root-Zugriffs, Deaktivieren der Kennwortauthentifizierung (und Verwenden von Schlüsseln stattdessen) und Ändern von Ports (wenig mit Sicherheit zu tun, außer die Minimierung gängiger Port-Scanner und Protokoll-Spam).
Der nächste Schritt wäre eine PF-Firewall-Lösung mit Verbindungsverfolgung. Diese Lösung würde Verbindungsstatus verwalten und alle IP-Adressen blockieren, die zu viele Verbindungen haben. Dies funktioniert hervorragend und ist mit PF sehr einfach zu tun, aber der SSH-Daemon ist immer noch dem Internet ausgesetzt.
Wie wäre es, SSH von außen völlig unzugänglich zu machen? Hier kommt Spiped ins Spiel . Von der Homepage:
Spiped (ausgesprochen "ess-pipe-dee") ist ein Dienstprogramm zum Erstellen symmetrisch verschlüsselter und authentifizierter Pipes zwischen Socket-Adressen, sodass eine Verbindung zu einer Adresse hergestellt werden kann (z. B. ein UNIX-Socket auf localhost) und transparent eine Verbindung zu einer anderen hergestellt werden kann Adresse (z. B. ein UNIX-Socket auf einem anderen System). Dies ähnelt der 'ssh -L'-Funktionalität, verwendet jedoch kein SSH und erfordert einen vorinstallierten symmetrischen Schlüssel.
Groß! Zum Glück gibt es ein hochwertiges OpenBSD-Paket, das alle Vorbereitungsarbeiten für uns erledigt, sodass wir mit der Installation beginnen können:
sudo pkg_add spiped
Dadurch wird auch ein nettes Init-Skript für uns installiert, damit wir es aktivieren können:
sudo rcctl enable spiped
Und zum Schluss:
sudo rcctl start spiped
Das Init-Skript stellt sicher, dass der Schlüssel für uns erstellt wird (den wir in Kürze auf einem lokalen Computer benötigen).
Was wir jetzt tun müssen, ist, das sshdAbhören der öffentlichen Adresse zu deaktivieren , Port 22 zu blockieren und Port 8022 zuzulassen (der standardmäßig im Spiped-Init-Skript verwendet wird).
Öffnen Sie die /etc/ssh/sshd_configDatei und ändern (und kommentieren) Sie die ListenAddresszu lesende Zeile 127.0.0.1:
ListenAddress 127.0.0.1
Wenn Sie PF-Regeln für die Portblockierung verwenden, müssen Sie Port 8022 übergeben (und Port 22 kann blockiert bleiben), z.
pass in on egress proto tcp from any to any port 8022
Stellen Sie sicher, dass Sie die Regeln neu laden, um sie zu aktivieren:
sudo pfctl -f /etc/pf.conf
Jetzt müssen wir nur noch den generierten Spiped Key ( ) vom Server auf einen lokalen Computer kopieren/etc/spiped/spiped.key und unsere SSH-Konfiguration wie folgt anpassen:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Sie müssen spipe/spipednatürlich auch auf einem lokalen Computer installiert sein. Wenn Sie den Schlüssel kopiert und die Namen / Pfade angepasst haben, sollten Sie in der Lage sein, eine Verbindung mit dieser ProxyCommandZeile in Ihrer ~/.ssh/configDatei herzustellen.
Nachdem Sie bestätigt haben, dass es funktioniert, können wir sshdauf einem Server neu starten :
sudo rcctl restart sshd
Und das ist es! Jetzt haben Sie einen großen Angriffsvektor vollständig eliminiert und einen Dienst weniger auf einer öffentlichen Schnittstelle abgehört. Ihre SSH-Verbindungen sollten nun von localhost stammen, zum Beispiel:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Ein Vorteil der Verwendung von Vultr ist, dass jeder Vultr VPS einen netten Online-Client vom Typ VNC bietet, den wir verwenden können, falls wir uns versehentlich aussperren. Experimentieren Sie weg!
Einführung Jeder Dienst, der mit dem Internet verbunden ist, ist ein potenzielles Ziel für Brute-Force-Angriffe oder ungerechtfertigten Zugriff. Es gibt Tools wie fail2ba
Verwenden Sie ein anderes System? Osclass ist ein Open Source-Projekt, mit dem Sie auf einfache Weise eine klassifizierte Site ohne technisches Wissen erstellen können. Seine Quelle
Verwenden Sie ein anderes System? Couch CMS ist ein einfaches und flexibles, kostenloses und Open-Source-Content-Management-System (CMS), mit dem Webdesigner entwerfen können
Verwenden Sie ein anderes System? Lychee 3.1 Photo Album ist ein einfaches und flexibles, kostenloses Open-Source-Tool zur Fotoverwaltung, das auf einem VPS-Server ausgeführt wird. Es wird installiert
Verwenden Sie ein anderes System? Fork ist ein Open-Source-CMS, das in PHP geschrieben wurde. Der Forks-Quellcode wird auf GitHub gehostet. Diese Anleitung zeigt Ihnen, wie Sie Fork CM installieren
Vultr FreeBSD-Server sind standardmäßig nicht so konfiguriert, dass sie Swap Space enthalten. Wenn Sie eine Einweg-Cloud-Instanz beabsichtigen, brauchen Sie diese wahrscheinlich nicht
Das FreeBSD-Betriebssystem verwendet UFS (Unix File System) für sein Root-Partitions-Dateisystem. sonst bekannt als freebsd-ufs Im Falle eines Upgrades
Verwenden Sie ein anderes System? Matomo (ehemals Piwik) ist eine Open Source-Analyseplattform, eine offene Alternative zu Google Analytics. Matomo Quelle wird gehostet o
Verwenden Sie ein anderes System? TLS 1.3 ist eine Version des TLS-Protokolls (Transport Layer Security), das 2018 als vorgeschlagener Standard in RFC 8446 veröffentlicht wurde
Verwenden Sie ein anderes System? Hintergrund CMS 1.8.0 ist ein einfaches und flexibles, mobilfreundliches, kostenloses und Open Source Content Management System (CMS), das es uns ermöglicht
Verwenden Sie ein anderes System? ImpressPages CMS 5.0 ist ein einfaches und effektives, kostenloses und Open Source, benutzerfreundliches, MVC-basiertes Content Management System (CMS).
Verwenden Sie ein anderes System? ESpeak kann TTS-Audiodateien (Text-to-Speech) generieren. Diese können aus vielen Gründen nützlich sein, z. B. um Ihr eigenes Turin zu erstellen
Verwenden Sie ein anderes System? LimeSurvey ist eine Open-Source-Umfragesoftware, die in PHP geschrieben wurde. Der LimeSurvey-Quellcode wird auf GitHub gehostet. Diese Anleitung zeigt Ihnen
Verwenden Sie ein anderes System? Monica ist ein Open-Source-System für das persönliche Beziehungsmanagement. Stellen Sie sich das als CRM vor (ein beliebtes Tool, das von Verkaufsteams in th verwendet wird
Verwenden Sie ein anderes System? Automad ist ein Open Source File-basiertes Content Management System (CMS) und eine in PHP geschriebene Template Engine. Der Automad-Quellcode i
Dieser Artikel enthält eine kurze Übersicht über die Server-Betriebssysteme, die als Vorlagen für Vultr angeboten werden. CentOS CentOS ist eine Open-Source-Version von RHEL (Re
Im folgenden Tutorial wird erläutert, wie Sie einen IceCast-Radio-Streaming-Server einrichten und Audiodateien (Musik oder Podcasts) auf der FreeBSD-Plattform abspielen. Diese Tutoria
Verwenden Sie ein anderes System? Omeka Classic 2.4 CMS ist eine kostenlose Open-Source-Plattform für digitales Publizieren und Content Management System (CMS) für den Austausch von Digita
Dieses Tutorial zeigt Ihnen, wie Sie Ihren FreeBSD-Server mithilfe der OpenBSD PF-Firewall schützen. Wir gehen davon aus, dass Sie eine saubere FreeBSD-Installation bereitgestellt haben. B.
Verwenden Sie ein anderes System? WonderCMS ist ein Open Source, schnelles und kleines Flatfile-CMS, das in PHP geschrieben wurde. WonderCMS-Quellcode wird auf Github gehostet. Dieser Leitfaden wird
Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist
ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.
Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+
Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.
Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren
13 Tools zur kommerziellen Datenextraktion von Big Data
Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true
Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.
Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1
KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.
