Home » » چگونه می توان SSH را با یک توالی درحال ضرب در بند اوبونتو 18.04 ایمن تر کرد

چگونه می توان SSH را با یک توالی درحال ضرب در بند اوبونتو 18.04 ایمن تر کرد

معرفی

علاوه بر تغییر درگاه پیش فرض برای SSH ، و استفاده از یک جفت کلید برای تأیید اعتبار ، می توان از ضربات پورت برای ایمن سازی بیشتر (یا دقیق تر ، مبهم بودن) سرور SSH خود استفاده کرد. این کار با امتناع از اتصال به درگاه شبکه SSH شما کار می کند. این در واقع این واقعیت را پنهان می کند که شما سرور SSH را اجرا می کنید تا زمانی که دنباله ای از تلاش برای اتصال به درگاه های از پیش تعریف شده انجام شود. بسیار ایمن و ساده برای پیاده سازی ، ضربه زدن به بندر یکی از بهترین راه های محافظت از سرور شما در برابر تلاش های مخرب اتصال SSH است.

پیش نیازها

  • سرور Vultr که اوبونتو 18.04 را اجرا می کند.
  • دسترسی سودو

قبل از طی کردن مراحل زیر ، اگر به عنوان کاربر اصلی وارد سیستم نشده اید ، لطفاً با اجرای sudo -iو وارد کردن رمز عبور ، یک پوسته ریشه موقت به دست آورید . روش دیگر ، شما ممکن است sudoبه دستوراتی که در این مقاله نشان داده شده است ، برتری کنید.

مرحله 1: نصب knockd

Knockd بسته ای است که در ترکیب با iptables برای پیاده سازی درگاه ضربه زدن روی سرور شما استفاده می شود. به گزارش iptables-persistent'بسته نیز مورد نیاز است.

apt update
apt install -y knockd iptables-persistent

مرحله 2: قوانین iptables

دستورات زیر را به ترتیب اجرا کنید:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

این دستورات به ترتیب زیر را انجام می دهند:

  • iptables را برای زنده نگه داشتن اتصالات موجود آموزش دهید.
  • به iptables دستور دهید تا هرگونه اتصال را به درگاه tcp / 22 رها کنید (اگر Daemon SSH شما به درگاهی غیر از 22 گوش می کند ، باید دستور بالا را مطابق با آن تغییر دهید.)
  • این دو قانون را ذخیره کنید تا بعد از راه اندازی مجدد آنها ادامه یابد.

مرحله 3: پیکربندی knockd

با استفاده از ویرایشگر متن مورد نظر خود ، پرونده را باز کنید /etc/knockd.conf.

موارد زیر را مشاهده خواهید کرد:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

شما باید ترتیب ترتیب درگاه ها را تغییر دهید (شماره پورت ها را در بالا انتخاب کرده 1024و توسط سایر سرویس ها استفاده نشده است) و آنها را با خیال راحت ذخیره کنید. این ترکیب باید مانند رمز عبور رفتار شود. در صورت فراموش شدن ، دسترسی به SSH را از دست خواهید داد. در ادامه به این سکانس جدید نیز اشاره خواهیم کرد x,y,z.

seq-timeoutخط تعدادی از ثانیه Knockd خواهد برای مشتری صبر کنید تا کامل توالی پورت ضربه زدن است. این امر می تواند خوب باشد که این مسئله را به چیزی بزرگتر تغییر دهید ، به خصوص اگر ضربه زدن به بندر به صورت دستی انجام شود. با این حال ، یک مقدار زمان کوچکتر امن تر است. تغییر آن به 15شما توصیه می شود زیرا در این آموزش به صورت دستی می کوبیم.

دنباله باز شدن را به درگاههای منتخب خود تغییر دهید:

[openSSH]
sequence    = x,y,z

مقدار فرمان را به شرح زیر تغییر دهید:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

اکنون ترتیب بسته شدن را به ترتیب تغییر دهید:

[closeSSH]
sequence    = z,y,x

تغییرات و خروج خود را ذخیره کنید و پرونده را باز کنید /etc/default/knockd:

  • جایگزین START_KNOCKD=0با START_KNOCKD=1.
  • خط زیر را به انتهای پرونده اضافه کنید: KNOCKD_OPTS="-i ens3"( ens3در صورت متفاوت بودن ، نام رابط شبکه عمومی خود را جایگزین کنید.)
  • ذخیره و خروج.

اکنون Knockd را شروع کنید:

systemctl start knockd

اگر شما از سرور خود را قطع، شما مجبور به دست کشیدن بر روی پورت x، yو zبرای اتصال دوباره.

مرحله 4: تست

اکنون نمی توانید به سرور SSH خود متصل شوید.

می توانید با یک سرویس گیرنده telnet ضربه بزنید.

کاربران ویندوز می توانند telnet را از خط فرمان راه اندازی کنند. اگر telnet نصب نشده است ، به بخش "Programs" Control Panel دسترسی پیدا کنید ، سپس "ویژگی های Windows را روشن یا خاموش" پیدا کنید. در پنل ویژگی ها ، "Telnet Client" را پیدا کرده و آن را فعال کنید.

در اعلان پایانه / فرمان خود موارد زیر را تایپ کنید:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

این کار را در پانزده ثانیه انجام دهید ، زیرا این حد تعیین شده در پیکربندی است. اکنون ، سعی کنید از طریق SSH به سرور خود متصل شوید. در دسترس خواهد بود

برای بستن دسترسی به سرور SSH ، دستورات را به ترتیب معکوس اجرا کنید.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

نتیجه

بهترین قسمت در مورد استفاده از درگاه کوبیدن این است که اگر در کنار تأیید اعتبار کلید خصوصی پیکربندی شده باشد ، هیچ فرصتی برای ورود شخص دیگری وجود ندارد ، مگر اینکه کسی دنباله ضربه زدن به درگاه شما را بشناسد و کلید خصوصی شما را داشته باشد.


Tags: #Linux Guides #Security #System Admin #Ubuntu

Leave a Comment

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

LiteCart یک بستر سبد خرید آزاد و منبع باز است که به زبان های PHP ، jQuery و HTML 5 نوشته شده است. این نرم افزار ساده ، سبک و با کاربرد آسان است.

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

با استفاده از یک سیستم متفاوت؟ Anchor CMS یک سیستم مدیریت محتوا (CMS) بسیار ساده و بسیار سبک ، بسیار آزاد و آزاد است.

اشتراک NFS را در Debian تنظیم کنید

اشتراک NFS را در Debian تنظیم کنید

NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید

نحوه نصب Matomo Analytics در Fedora 28

نحوه نصب Matomo Analytics در Fedora 28

با استفاده از یک سیستم متفاوت؟ Matomo (سابقا پیویک) یک بستر تحلیلی منبع باز است ، یک جایگزین باز برای Google Analytics. منبع Matomo میزبان o

یک سرور TeamTalk را در لینوکس تنظیم کنید

یک سرور TeamTalk را در لینوکس تنظیم کنید

TeamTalk یک سیستم کنفرانس است که به کاربران امکان می دهد مکالمات صوتی / تصویری با کیفیت بالا ، چت متنی ، انتقال فایل ها و صفحه های به اشتراک بگذارند. من

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

Vultr یک ویژگی را فراهم می کند که به شما امکان می دهد با ایجاد یک نمونه جدید ، کلیدهای SSH را از قبل نصب کنید. این اجازه می دهد تا به کاربر root دسترسی داشته باشید ، با این حال ، th

نحوه نصب Ranger Terminal File Manager در لینوکس

نحوه نصب Ranger Terminal File Manager در لینوکس

رنجر یک مدیر فایل مبتنی بر خط فرمان است که دارای کلیدهای اتصال VI است. این برنامه یک رابط لعنتی مینیمالیستی و زیبا با نمای سلسله مراتب فهرست ارائه می دهد

تنظیم RethinkDB Cluster On CentOS 7

تنظیم RethinkDB Cluster On CentOS 7

مقدمه RethinkDB یک پایگاه داده NoSQL است که داده ها را به عنوان اسناد JSON ذخیره می کند. این یک زبان پرس و جو بسیار بصری است و از ویژگی های آن معمولا در دسترس است

نحوه ساخت Brotli از Source on Ubuntu 18.04 LTS

نحوه ساخت Brotli از Source on Ubuntu 18.04 LTS

با استفاده از یک سیستم متفاوت؟ Brotli یک روش فشرده سازی جدید با نسبت فشرده سازی بهتر از GZIP است. کد منبع آن در این Githu به صورت عمومی میزبانی می شود

با استفاده از نمایش های MySQL در Debian 7

با استفاده از نمایش های MySQL در Debian 7

مقدمه MySQL دارای یک ویژگی عالی است که به عنوان بازدید شناخته می شود. نمایش نمایش داده شد. برای یک سؤال طولانی مدت از آنها فکر کنید. در این راهنما ،

غیرفعال یا محدود کردن ورود ریشه از طریق SSH در لینوکس

غیرفعال یا محدود کردن ورود ریشه از طریق SSH در لینوکس

اجازه ورود به سیستم ریشه در SSH معمولاً یک روش امنیتی ضعیف در کل صنعت فناوری تلقی می شود. درعوض ، می توانید اداری حساس را انجام دهید

نحوه نصب نسخه باز Vtiger CRM در CentOS 7

نحوه نصب نسخه باز Vtiger CRM در CentOS 7

Vtiger CRM یک نرم افزار محبوب مدیریت ارتباط با مشتری است که می تواند به بنگاهها در رشد فروش ، ارائه خدمات به مشتری و افزایش سود کمک کند. من

نحوه نصب DokuWiki در اوبونتو 16.04 LTS

نحوه نصب DokuWiki در اوبونتو 16.04 LTS

با استفاده از یک سیستم متفاوت؟ DokuWiki یک برنامه ویکی منبع باز است که به زبان پی اچ پی نوشته شده است و به پایگاه داده نیاز ندارد. این داده ها را در پرونده های متنی ذخیره می کند. DokuWik

راه اندازی یک Chroot در دبیان

راه اندازی یک Chroot در دبیان

در این مقاله به شما می آموزد که چگونه زندان دزدگیر را در دبیان تنظیم کنید. تصور می کنم از Debian 7.x استفاده می کنید. اگر دبیان 6 یا 8 را اجرا کردید ، ممکن است این کار کند

نحوه نصب PiVPN در Debian

نحوه نصب PiVPN در Debian

مقدمه یک راه آسان برای راه اندازی سرور VPN در دبیان با PiVPN است. PiVPN نصب و بسته بندی OpenVPN است. این دستورات ساده را برای شما ایجاد می کند

Nginx ، Wordpress را نصب کنید و رمزگذاری را در چند دقیقه با EasyEngine روی Debian 8 یا Ubuntu 16.04 نصب کنید

Nginx ، Wordpress را نصب کنید و رمزگذاری را در چند دقیقه با EasyEngine روی Debian 8 یا Ubuntu 16.04 نصب کنید

EasyEngine (ee) ابزاری پایتون است که به شما امکان می دهد سایت های وردپرس خود را به راحتی و به صورت خودکار مدیریت کنید. با استفاده از EasyEngine ، شما مجبور به dea نیستید

نحوه نصب و پیکربندی CyberPanel در Ubuntu 18.04 LTS

نحوه نصب و پیکربندی CyberPanel در Ubuntu 18.04 LTS

با استفاده از یک سیستم متفاوت؟ مقدمه CyberPanel یکی از اولین صفحه کنترل در بازار است که هم منبع باز است و هم از OpenLiteSpeed ​​استفاده می کند. چی

نحوه ساخت Brotli از Source on Debian 9

نحوه ساخت Brotli از Source on Debian 9

با استفاده از یک سیستم متفاوت؟ Brotli یک روش فشرده سازی جدید با نسبت فشرده سازی بهتر از Gzip است. کد منبع آن در Github به صورت عمومی میزبانی می شود. تی

نحوه نصب کاناپه CMS 2.0 بر روی یک VPS CentOS 7 LAMP

نحوه نصب کاناپه CMS 2.0 بر روی یک VPS CentOS 7 LAMP

با استفاده از یک سیستم متفاوت؟ Couch CMS یک سیستم مدیریت محتوای منبع ساده و انعطاف پذیر ، آزاد و منبع باز (CMS) است که به طراحان وب اجازه می دهد تا طراحی کنند.

ایجاد یک سرور Teamspeak 3 در اوبونتو 14 64 بیتی

ایجاد یک سرور Teamspeak 3 در اوبونتو 14 64 بیتی

بررسی اجمالی که آیا شما در حال همکاری در یک پروژه همکاری بزرگ با تیم توسعه خود هستید و یا در جدیدترین بازی نقش آفرینی رئیس را می کشید ، می خواهید

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

LiteCart یک بستر سبد خرید آزاد و منبع باز است که به زبان های PHP ، jQuery و HTML 5 نوشته شده است. این نرم افزار ساده ، سبک و با کاربرد آسان است.

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

با استفاده از یک سیستم متفاوت؟ Anchor CMS یک سیستم مدیریت محتوا (CMS) بسیار ساده و بسیار سبک ، بسیار آزاد و آزاد است.

اشتراک NFS را در Debian تنظیم کنید

اشتراک NFS را در Debian تنظیم کنید

NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید

نحوه بروزرسانی CentOS 7 ، Ubuntu 16.04 و Debian 8

نحوه بروزرسانی CentOS 7 ، Ubuntu 16.04 و Debian 8

هنگام راه اندازی سرور جدید لینوکس ، به روزرسانی سیستم های هسته و سایر بسته ها تا آخرین نسخه پایدار یک روش توصیه شده است. در این مقاله

نحوه نصب Matomo Analytics در Fedora 28

نحوه نصب Matomo Analytics در Fedora 28

با استفاده از یک سیستم متفاوت؟ Matomo (سابقا پیویک) یک بستر تحلیلی منبع باز است ، یک جایگزین باز برای Google Analytics. منبع Matomo میزبان o

یک سرور TeamTalk را در لینوکس تنظیم کنید

یک سرور TeamTalk را در لینوکس تنظیم کنید

TeamTalk یک سیستم کنفرانس است که به کاربران امکان می دهد مکالمات صوتی / تصویری با کیفیت بالا ، چت متنی ، انتقال فایل ها و صفحه های به اشتراک بگذارند. من

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

Vultr یک ویژگی را فراهم می کند که به شما امکان می دهد با ایجاد یک نمونه جدید ، کلیدهای SSH را از قبل نصب کنید. این اجازه می دهد تا به کاربر root دسترسی داشته باشید ، با این حال ، th

نحوه نصب انجمن NodeBB در FreeBSD 12

نحوه نصب انجمن NodeBB در FreeBSD 12

با استفاده از یک سیستم متفاوت؟ NodeBB یک نرم افزار انجمن مبتنی بر Node.js است. از سوکت های وب برای تعامل فوری و اعلامیه های زمان واقعی استفاده می کند. NodeB

نصب و راه اندازی ZNC در اوبونتو

نصب و راه اندازی ZNC در اوبونتو

ZNC یک پیشرانه پیشرفته شبکه IRC است که تمام وقت بهم متصل می شود تا مشتری IRC بتواند بدون از دست دادن جلسه گپ قطع یا وصل شود.

نحوه نصب Ranger Terminal File Manager در لینوکس

نحوه نصب Ranger Terminal File Manager در لینوکس

رنجر یک مدیر فایل مبتنی بر خط فرمان است که دارای کلیدهای اتصال VI است. این برنامه یک رابط لعنتی مینیمالیستی و زیبا با نمای سلسله مراتب فهرست ارائه می دهد