Schützen Sie den SSH-Zugriff mit Spiped On OpenBSD

Da der SSH-Zugriff der wichtigste Einstiegspunkt für die Verwaltung Ihres Servers ist, ist er zu einem weit verbreiteten Angriffsvektor geworden.

Zu den grundlegenden Schritten zum Sichern von SSH gehören: Deaktivieren des Root-Zugriffs, Deaktivieren der Kennwortauthentifizierung (und Verwenden von Schlüsseln stattdessen) und Ändern von Ports (wenig mit Sicherheit zu tun, außer die Minimierung gängiger Port-Scanner und Protokoll-Spam).

Der nächste Schritt wäre eine PF-Firewall-Lösung mit Verbindungsverfolgung. Diese Lösung würde Verbindungsstatus verwalten und alle IP-Adressen blockieren, die zu viele Verbindungen haben. Dies funktioniert hervorragend und ist mit PF sehr einfach zu tun, aber der SSH-Daemon ist immer noch dem Internet ausgesetzt.

Wie wäre es, SSH von außen völlig unzugänglich zu machen? Hier kommt Spiped ins Spiel . Von der Homepage:

Spiped (ausgesprochen "ess-pipe-dee") ist ein Dienstprogramm zum Erstellen symmetrisch verschlüsselter und authentifizierter Pipes zwischen Socket-Adressen, sodass eine Verbindung zu einer Adresse hergestellt werden kann (z. B. ein UNIX-Socket auf localhost) und transparent eine Verbindung zu einer anderen hergestellt werden kann Adresse (z. B. ein UNIX-Socket auf einem anderen System). Dies ähnelt der 'ssh -L'-Funktionalität, verwendet jedoch kein SSH und erfordert einen vorinstallierten symmetrischen Schlüssel.

Groß! Zum Glück gibt es ein hochwertiges OpenBSD-Paket, das alle Vorbereitungsarbeiten für uns erledigt, sodass wir mit der Installation beginnen können:

sudo pkg_add spiped

Dadurch wird auch ein nettes Init-Skript für uns installiert, damit wir es aktivieren können:

sudo rcctl enable spiped

Und zum Schluss:

sudo rcctl start spiped

Das Init-Skript stellt sicher, dass der Schlüssel für uns erstellt wird (den wir in Kürze auf einem lokalen Computer benötigen).

Was wir jetzt tun müssen, ist, das sshdAbhören der öffentlichen Adresse zu deaktivieren , Port 22 zu blockieren und Port 8022 zuzulassen (der standardmäßig im Spiped-Init-Skript verwendet wird).

Öffnen Sie die /etc/ssh/sshd_configDatei und ändern (und kommentieren) Sie die ListenAddresszu lesende Zeile 127.0.0.1:

ListenAddress 127.0.0.1

Wenn Sie PF-Regeln für die Portblockierung verwenden, müssen Sie Port 8022 übergeben (und Port 22 kann blockiert bleiben), z.

pass in on egress proto tcp from any to any port 8022

Stellen Sie sicher, dass Sie die Regeln neu laden, um sie zu aktivieren:

sudo pfctl -f /etc/pf.conf

Jetzt müssen wir nur noch den generierten Spiped Key ( ) vom Server auf einen lokalen Computer kopieren/etc/spiped/spiped.key und unsere SSH-Konfiguration wie folgt anpassen:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Sie müssen spipe/spipednatürlich auch auf einem lokalen Computer installiert sein. Wenn Sie den Schlüssel kopiert und die Namen / Pfade angepasst haben, sollten Sie in der Lage sein, eine Verbindung mit dieser ProxyCommandZeile in Ihrer ~/.ssh/configDatei herzustellen.

Nachdem Sie bestätigt haben, dass es funktioniert, können wir sshdauf einem Server neu starten :

sudo rcctl restart sshd

Und das ist es! Jetzt haben Sie einen großen Angriffsvektor vollständig eliminiert und einen Dienst weniger auf einer öffentlichen Schnittstelle abgehört. Ihre SSH-Verbindungen sollten nun von localhost stammen, zum Beispiel:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Ein Vorteil der Verwendung von Vultr ist, dass jeder Vultr VPS einen netten Online-Client vom Typ VNC bietet, den wir verwenden können, falls wir uns versehentlich aussperren. Experimentieren Sie weg!