Schützen Sie den SSH-Zugriff mit Spiped On OpenBSD

Da der SSH-Zugriff der wichtigste Einstiegspunkt für die Verwaltung Ihres Servers ist, ist er zu einem weit verbreiteten Angriffsvektor geworden.

Zu den grundlegenden Schritten zum Sichern von SSH gehören: Deaktivieren des Root-Zugriffs, Deaktivieren der Kennwortauthentifizierung (und Verwenden von Schlüsseln stattdessen) und Ändern von Ports (wenig mit Sicherheit zu tun, außer die Minimierung gängiger Port-Scanner und Protokoll-Spam).

Der nächste Schritt wäre eine PF-Firewall-Lösung mit Verbindungsverfolgung. Diese Lösung würde Verbindungsstatus verwalten und alle IP-Adressen blockieren, die zu viele Verbindungen haben. Dies funktioniert hervorragend und ist mit PF sehr einfach zu tun, aber der SSH-Daemon ist immer noch dem Internet ausgesetzt.

Wie wäre es, SSH von außen völlig unzugänglich zu machen? Hier kommt Spiped ins Spiel . Von der Homepage:

Spiped (ausgesprochen "ess-pipe-dee") ist ein Dienstprogramm zum Erstellen symmetrisch verschlüsselter und authentifizierter Pipes zwischen Socket-Adressen, sodass eine Verbindung zu einer Adresse hergestellt werden kann (z. B. ein UNIX-Socket auf localhost) und transparent eine Verbindung zu einer anderen hergestellt werden kann Adresse (z. B. ein UNIX-Socket auf einem anderen System). Dies ähnelt der 'ssh -L'-Funktionalität, verwendet jedoch kein SSH und erfordert einen vorinstallierten symmetrischen Schlüssel.

Groß! Zum Glück gibt es ein hochwertiges OpenBSD-Paket, das alle Vorbereitungsarbeiten für uns erledigt, sodass wir mit der Installation beginnen können:

sudo pkg_add spiped

Dadurch wird auch ein nettes Init-Skript für uns installiert, damit wir es aktivieren können:

sudo rcctl enable spiped

Und zum Schluss:

sudo rcctl start spiped

Das Init-Skript stellt sicher, dass der Schlüssel für uns erstellt wird (den wir in Kürze auf einem lokalen Computer benötigen).

Was wir jetzt tun müssen, ist, das sshdAbhören der öffentlichen Adresse zu deaktivieren , Port 22 zu blockieren und Port 8022 zuzulassen (der standardmäßig im Spiped-Init-Skript verwendet wird).

Öffnen Sie die /etc/ssh/sshd_configDatei und ändern (und kommentieren) Sie die ListenAddresszu lesende Zeile 127.0.0.1:

ListenAddress 127.0.0.1

Wenn Sie PF-Regeln für die Portblockierung verwenden, müssen Sie Port 8022 übergeben (und Port 22 kann blockiert bleiben), z.

pass in on egress proto tcp from any to any port 8022

Stellen Sie sicher, dass Sie die Regeln neu laden, um sie zu aktivieren:

sudo pfctl -f /etc/pf.conf

Jetzt müssen wir nur noch den generierten Spiped Key ( ) vom Server auf einen lokalen Computer kopieren/etc/spiped/spiped.key und unsere SSH-Konfiguration wie folgt anpassen:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Sie müssen spipe/spipednatürlich auch auf einem lokalen Computer installiert sein. Wenn Sie den Schlüssel kopiert und die Namen / Pfade angepasst haben, sollten Sie in der Lage sein, eine Verbindung mit dieser ProxyCommandZeile in Ihrer ~/.ssh/configDatei herzustellen.

Nachdem Sie bestätigt haben, dass es funktioniert, können wir sshdauf einem Server neu starten :

sudo rcctl restart sshd

Und das ist es! Jetzt haben Sie einen großen Angriffsvektor vollständig eliminiert und einen Dienst weniger auf einer öffentlichen Schnittstelle abgehört. Ihre SSH-Verbindungen sollten nun von localhost stammen, zum Beispiel:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Ein Vorteil der Verwendung von Vultr ist, dass jeder Vultr VPS einen netten Online-Client vom Typ VNC bietet, den wir verwenden können, falls wir uns versehentlich aussperren. Experimentieren Sie weg!



Leave a Comment

Kann KI mit zunehmender Anzahl von Ransomware-Angriffen kämpfen?

Kann KI mit zunehmender Anzahl von Ransomware-Angriffen kämpfen?

Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist

ReactOS: Ist das die Zukunft von Windows?

ReactOS: Ist das die Zukunft von Windows?

ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.

Bleiben Sie in Verbindung über die WhatsApp Desktop App 24*7

Bleiben Sie in Verbindung über die WhatsApp Desktop App 24*7

Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+

Wie kann KI die Prozessautomatisierung auf die nächste Stufe heben?

Wie kann KI die Prozessautomatisierung auf die nächste Stufe heben?

Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.

macOS Catalina 10.15.4 Supplement Update verursacht mehr Probleme als sie zu lösen

macOS Catalina 10.15.4 Supplement Update verursacht mehr Probleme als sie zu lösen

Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren

13 Tools zur kommerziellen Datenextraktion von Big Data

13 Tools zur kommerziellen Datenextraktion von Big Data

13 Tools zur kommerziellen Datenextraktion von Big Data

Was ist ein Journaling-Dateisystem und wie funktioniert es?

Was ist ein Journaling-Dateisystem und wie funktioniert es?

Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true

Technologische Singularität: Eine ferne Zukunft der menschlichen Zivilisation?

Technologische Singularität: Eine ferne Zukunft der menschlichen Zivilisation?

Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Der Einfluss künstlicher Intelligenz im Gesundheitswesen 2021

Der Einfluss künstlicher Intelligenz im Gesundheitswesen 2021

KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.