از دسترسی SSH با استفاده از SpBed در OpenBSD محافظت کنید

از آنجا که دسترسی به SSH مهمترین نقطه ورود برای سرور شماست ، به یک وکتور حمله گسترده تبدیل شده است.

اقدامات اساسی برای امنیت SSH عبارتند از: غیرفعال کردن دسترسی ریشه ، خاموش کردن تأیید هویت کلمه عبور (و استفاده از کلیدها به جای آن) و تغییر درگاه ها (ارتباطی با امنیت جز به حداقل رساندن اسکنرهای درگاه رایج و ورود هرزنامه).

مرحله بعدی یک راه حل فایروال PF با ردیابی اتصال است. این راه حل می تواند حالت های اتصال را مدیریت کند ، و هر IP که اتصالات بیش از حد دارد را مسدود کند. این کار بسیار عالی است و با PF بسیار آسان است ، اما Daemon SSH هنوز در معرض اینترنت است.

در مورد ساخت SSH کاملاً غیرقابل دسترسی از خارج چطور؟ اینجاست که Spiped وارد می شود. از صفحه اصلی:

Spiped (تلفظ "ess-tube-de") ابزاری برای ایجاد لوله های رمزگذاری شده و تصدیق شده متقارن بین آدرسهای سوکت است ، به طوری که ممکن است فرد به یک آدرس وصل شود (مثلاً سوکت UNIX در localhost) و به صورت شفاف یک اتصال به دیگری برقرار کند. آدرس (به عنوان مثال ، سوکت UNIX در یک سیستم متفاوت). این شبیه به قابلیت 'ssh-L' است ، اما از SSH استفاده نمی کند و به یک کلید متقارن از پیش مشترک نیاز دارد.

عالی! خوشبختانه برای ما ، یک بسته OpenBSD با کیفیت بالا دارد که همه کارهای آماده را برای ما انجام می دهد ، بنابراین می توانیم با نصب آن شروع کنیم:

sudo pkg_add spiped

این همچنین یک اسکریپت خوب خوب را برای ما نصب می کند ، بنابراین می توانیم جلو برویم و آن را فعال کنیم:

sudo rcctl enable spiped

و در آخر آن را شروع کنید:

sudo rcctl start spiped

اسکریپت init اطمینان حاصل می کند که کلید برای ما ایجاد شده است (که کمی به آن نیاز خواهیم داشت).

کاری که اکنون باید انجام دهیم این است که sshdاز گوش دادن به آدرس عمومی ، بلوک پورت 22 و اجازه پورت 8022 (که به طور پیش فرض در اسکریپت شروع شده استفاده می شود) غیرفعال کنید.

/etc/ssh/sshd_configپرونده را باز کنید و ListenAddressخط را برای خواندن تغییر دهید (و عدم رضایت) 127.0.0.1:

ListenAddress 127.0.0.1

اگر از قوانین PF برای انسداد درگاه استفاده می کنید ، حتما پورت 8022 را عبور دهید (و می توانید پورت 22 را مسدود کنید) ، به عنوان مثال:

pass in on egress proto tcp from any to any port 8022

برای فعال کردن آن ، حتماً قوانین را بارگیری مجدد کنید:

sudo pfctl -f /etc/pf.conf

اکنون تمام آنچه ما نیاز داریم کپی کردن کلید تولید شده ( /etc/spiped/spiped.key) از سرور به یک دستگاه محلی و تنظیم پیکربندی SSH است ، چیزی که در زیر خطوط زیر است:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedبدیهی است که باید روی یک دستگاه محلی نیز نصب کرده باشید . اگر کلید را کپی کرده و نام / مسیر را تنظیم کرده اید ، باید بتوانید با آن ProxyCommandخط در ~/.ssh/configپرونده خود ارتباط برقرار کنید .

بعد از اینکه تأیید کرد که کار می کند ، می توانیم sshdروی یک سرور دوباره راه اندازی کنیم :

sudo rcctl restart sshd

و همین! اکنون شما یک وکتور حمله بزرگ را کاملاً از بین برده اید و یک سرویس کمتری در گوش دادن به رابط عمومی دارید. به نظر می رسد اتصالات SSH شما اکنون از localhost آمده است ، به عنوان مثال:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

فایده استفاده از Vultr این است که هر Vultr VPS یک مشتری خوب آنلاین از نوع VNC را ارائه می دهد که می توانیم از آن استفاده کنیم که بطور تصادفی خودمان را قفل کنیم. آزمایش دور!