چگونه می توان SSH را با یک توالی درحال ضرب در بند اوبونتو 18.04 ایمن تر کرد

• معرفی
• پیش نیازها
• مرحله 1: نصب knockd
• مرحله 2: قوانین iptables
• مرحله 3: پیکربندی knockd
• مرحله 4: تست
• نتیجه

معرفی

علاوه بر تغییر درگاه پیش فرض برای SSH ، و استفاده از یک جفت کلید برای تأیید اعتبار ، می توان از ضربات پورت برای ایمن سازی بیشتر (یا دقیق تر ، مبهم بودن) سرور SSH خود استفاده کرد. این کار با امتناع از اتصال به درگاه شبکه SSH شما کار می کند. این در واقع این واقعیت را پنهان می کند که شما سرور SSH را اجرا می کنید تا زمانی که دنباله ای از تلاش برای اتصال به درگاه های از پیش تعریف شده انجام شود. بسیار ایمن و ساده برای پیاده سازی ، ضربه زدن به بندر یکی از بهترین راه های محافظت از سرور شما در برابر تلاش های مخرب اتصال SSH است.

پیش نیازها

• سرور Vultr که اوبونتو 18.04 را اجرا می کند.
• دسترسی سودو

قبل از طی کردن مراحل زیر ، اگر به عنوان کاربر اصلی وارد سیستم نشده اید ، لطفاً با اجرای sudo -iو وارد کردن رمز عبور ، یک پوسته ریشه موقت به دست آورید . روش دیگر ، شما ممکن است sudoبه دستوراتی که در این مقاله نشان داده شده است ، برتری کنید.

مرحله 1: نصب knockd

Knockd بسته ای است که در ترکیب با iptables برای پیاده سازی درگاه ضربه زدن روی سرور شما استفاده می شود. به گزارش iptables-persistent'بسته نیز مورد نیاز است.

apt update
apt install -y knockd iptables-persistent

مرحله 2: قوانین iptables

دستورات زیر را به ترتیب اجرا کنید:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

این دستورات به ترتیب زیر را انجام می دهند:

• iptables را برای زنده نگه داشتن اتصالات موجود آموزش دهید.
• به iptables دستور دهید تا هرگونه اتصال را به درگاه tcp / 22 رها کنید (اگر Daemon SSH شما به درگاهی غیر از 22 گوش می کند ، باید دستور بالا را مطابق با آن تغییر دهید.)
• این دو قانون را ذخیره کنید تا بعد از راه اندازی مجدد آنها ادامه یابد.

مرحله 3: پیکربندی knockd

با استفاده از ویرایشگر متن مورد نظر خود ، پرونده را باز کنید /etc/knockd.conf.

موارد زیر را مشاهده خواهید کرد:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

شما باید ترتیب ترتیب درگاه ها را تغییر دهید (شماره پورت ها را در بالا انتخاب کرده 1024و توسط سایر سرویس ها استفاده نشده است) و آنها را با خیال راحت ذخیره کنید. این ترکیب باید مانند رمز عبور رفتار شود. در صورت فراموش شدن ، دسترسی به SSH را از دست خواهید داد. در ادامه به این سکانس جدید نیز اشاره خواهیم کرد x,y,z.

seq-timeoutخط تعدادی از ثانیه Knockd خواهد برای مشتری صبر کنید تا کامل توالی پورت ضربه زدن است. این امر می تواند خوب باشد که این مسئله را به چیزی بزرگتر تغییر دهید ، به خصوص اگر ضربه زدن به بندر به صورت دستی انجام شود. با این حال ، یک مقدار زمان کوچکتر امن تر است. تغییر آن به 15شما توصیه می شود زیرا در این آموزش به صورت دستی می کوبیم.

دنباله باز شدن را به درگاههای منتخب خود تغییر دهید:

[openSSH]
sequence    = x,y,z

مقدار فرمان را به شرح زیر تغییر دهید:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

اکنون ترتیب بسته شدن را به ترتیب تغییر دهید:

[closeSSH]
sequence    = z,y,x

تغییرات و خروج خود را ذخیره کنید و پرونده را باز کنید /etc/default/knockd:

• جایگزین START_KNOCKD=0با START_KNOCKD=1.
• خط زیر را به انتهای پرونده اضافه کنید: KNOCKD_OPTS="-i ens3"( ens3در صورت متفاوت بودن ، نام رابط شبکه عمومی خود را جایگزین کنید.)
• ذخیره و خروج.

اکنون Knockd را شروع کنید:

systemctl start knockd

اگر شما از سرور خود را قطع، شما مجبور به دست کشیدن بر روی پورت x، yو zبرای اتصال دوباره.

مرحله 4: تست

اکنون نمی توانید به سرور SSH خود متصل شوید.

می توانید با یک سرویس گیرنده telnet ضربه بزنید.

کاربران ویندوز می توانند telnet را از خط فرمان راه اندازی کنند. اگر telnet نصب نشده است ، به بخش "Programs" Control Panel دسترسی پیدا کنید ، سپس "ویژگی های Windows را روشن یا خاموش" پیدا کنید. در پنل ویژگی ها ، "Telnet Client" را پیدا کرده و آن را فعال کنید.

در اعلان پایانه / فرمان خود موارد زیر را تایپ کنید:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

این کار را در پانزده ثانیه انجام دهید ، زیرا این حد تعیین شده در پیکربندی است. اکنون ، سعی کنید از طریق SSH به سرور خود متصل شوید. در دسترس خواهد بود

برای بستن دسترسی به سرور SSH ، دستورات را به ترتیب معکوس اجرا کنید.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

نتیجه

بهترین قسمت در مورد استفاده از درگاه کوبیدن این است که اگر در کنار تأیید اعتبار کلید خصوصی پیکربندی شده باشد ، هیچ فرصتی برای ورود شخص دیگری وجود ندارد ، مگر اینکه کسی دنباله ضربه زدن به درگاه شما را بشناسد و کلید خصوصی شما را داشته باشد.