Home » » چگونه می توان SSH را با یک توالی درحال ضرب در بند اوبونتو 18.04 ایمن تر کرد

چگونه می توان SSH را با یک توالی درحال ضرب در بند اوبونتو 18.04 ایمن تر کرد

معرفی

علاوه بر تغییر درگاه پیش فرض برای SSH ، و استفاده از یک جفت کلید برای تأیید اعتبار ، می توان از ضربات پورت برای ایمن سازی بیشتر (یا دقیق تر ، مبهم بودن) سرور SSH خود استفاده کرد. این کار با امتناع از اتصال به درگاه شبکه SSH شما کار می کند. این در واقع این واقعیت را پنهان می کند که شما سرور SSH را اجرا می کنید تا زمانی که دنباله ای از تلاش برای اتصال به درگاه های از پیش تعریف شده انجام شود. بسیار ایمن و ساده برای پیاده سازی ، ضربه زدن به بندر یکی از بهترین راه های محافظت از سرور شما در برابر تلاش های مخرب اتصال SSH است.

پیش نیازها

  • سرور Vultr که اوبونتو 18.04 را اجرا می کند.
  • دسترسی سودو

قبل از طی کردن مراحل زیر ، اگر به عنوان کاربر اصلی وارد سیستم نشده اید ، لطفاً با اجرای sudo -iو وارد کردن رمز عبور ، یک پوسته ریشه موقت به دست آورید . روش دیگر ، شما ممکن است sudoبه دستوراتی که در این مقاله نشان داده شده است ، برتری کنید.

مرحله 1: نصب knockd

Knockd بسته ای است که در ترکیب با iptables برای پیاده سازی درگاه ضربه زدن روی سرور شما استفاده می شود. به گزارش iptables-persistent'بسته نیز مورد نیاز است.

apt update
apt install -y knockd iptables-persistent

مرحله 2: قوانین iptables

دستورات زیر را به ترتیب اجرا کنید:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

این دستورات به ترتیب زیر را انجام می دهند:

  • iptables را برای زنده نگه داشتن اتصالات موجود آموزش دهید.
  • به iptables دستور دهید تا هرگونه اتصال را به درگاه tcp / 22 رها کنید (اگر Daemon SSH شما به درگاهی غیر از 22 گوش می کند ، باید دستور بالا را مطابق با آن تغییر دهید.)
  • این دو قانون را ذخیره کنید تا بعد از راه اندازی مجدد آنها ادامه یابد.

مرحله 3: پیکربندی knockd

با استفاده از ویرایشگر متن مورد نظر خود ، پرونده را باز کنید /etc/knockd.conf.

موارد زیر را مشاهده خواهید کرد:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

شما باید ترتیب ترتیب درگاه ها را تغییر دهید (شماره پورت ها را در بالا انتخاب کرده 1024و توسط سایر سرویس ها استفاده نشده است) و آنها را با خیال راحت ذخیره کنید. این ترکیب باید مانند رمز عبور رفتار شود. در صورت فراموش شدن ، دسترسی به SSH را از دست خواهید داد. در ادامه به این سکانس جدید نیز اشاره خواهیم کرد x,y,z.

seq-timeoutخط تعدادی از ثانیه Knockd خواهد برای مشتری صبر کنید تا کامل توالی پورت ضربه زدن است. این امر می تواند خوب باشد که این مسئله را به چیزی بزرگتر تغییر دهید ، به خصوص اگر ضربه زدن به بندر به صورت دستی انجام شود. با این حال ، یک مقدار زمان کوچکتر امن تر است. تغییر آن به 15شما توصیه می شود زیرا در این آموزش به صورت دستی می کوبیم.

دنباله باز شدن را به درگاههای منتخب خود تغییر دهید:

[openSSH]
sequence    = x,y,z

مقدار فرمان را به شرح زیر تغییر دهید:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

اکنون ترتیب بسته شدن را به ترتیب تغییر دهید:

[closeSSH]
sequence    = z,y,x

تغییرات و خروج خود را ذخیره کنید و پرونده را باز کنید /etc/default/knockd:

  • جایگزین START_KNOCKD=0با START_KNOCKD=1.
  • خط زیر را به انتهای پرونده اضافه کنید: KNOCKD_OPTS="-i ens3"( ens3در صورت متفاوت بودن ، نام رابط شبکه عمومی خود را جایگزین کنید.)
  • ذخیره و خروج.

اکنون Knockd را شروع کنید:

systemctl start knockd

اگر شما از سرور خود را قطع، شما مجبور به دست کشیدن بر روی پورت x، yو zبرای اتصال دوباره.

مرحله 4: تست

اکنون نمی توانید به سرور SSH خود متصل شوید.

می توانید با یک سرویس گیرنده telnet ضربه بزنید.

کاربران ویندوز می توانند telnet را از خط فرمان راه اندازی کنند. اگر telnet نصب نشده است ، به بخش "Programs" Control Panel دسترسی پیدا کنید ، سپس "ویژگی های Windows را روشن یا خاموش" پیدا کنید. در پنل ویژگی ها ، "Telnet Client" را پیدا کرده و آن را فعال کنید.

در اعلان پایانه / فرمان خود موارد زیر را تایپ کنید:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

این کار را در پانزده ثانیه انجام دهید ، زیرا این حد تعیین شده در پیکربندی است. اکنون ، سعی کنید از طریق SSH به سرور خود متصل شوید. در دسترس خواهد بود

برای بستن دسترسی به سرور SSH ، دستورات را به ترتیب معکوس اجرا کنید.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

نتیجه

بهترین قسمت در مورد استفاده از درگاه کوبیدن این است که اگر در کنار تأیید اعتبار کلید خصوصی پیکربندی شده باشد ، هیچ فرصتی برای ورود شخص دیگری وجود ندارد ، مگر اینکه کسی دنباله ضربه زدن به درگاه شما را بشناسد و کلید خصوصی شما را داشته باشد.


Tags: #Linux Guides #Security #System Admin #Ubuntu

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

LiteCart یک بستر سبد خرید آزاد و منبع باز است که به زبان های PHP ، jQuery و HTML 5 نوشته شده است. این نرم افزار ساده ، سبک و با کاربرد آسان است.

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

با استفاده از یک سیستم متفاوت؟ Anchor CMS یک سیستم مدیریت محتوا (CMS) بسیار ساده و بسیار سبک ، بسیار آزاد و آزاد است.

اشتراک NFS را در Debian تنظیم کنید

اشتراک NFS را در Debian تنظیم کنید

NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید

نحوه بروزرسانی CentOS 7 ، Ubuntu 16.04 و Debian 8

نحوه بروزرسانی CentOS 7 ، Ubuntu 16.04 و Debian 8

هنگام راه اندازی سرور جدید لینوکس ، به روزرسانی سیستم های هسته و سایر بسته ها تا آخرین نسخه پایدار یک روش توصیه شده است. در این مقاله

نحوه نصب Matomo Analytics در Fedora 28

نحوه نصب Matomo Analytics در Fedora 28

با استفاده از یک سیستم متفاوت؟ Matomo (سابقا پیویک) یک بستر تحلیلی منبع باز است ، یک جایگزین باز برای Google Analytics. منبع Matomo میزبان o

یک سرور TeamTalk را در لینوکس تنظیم کنید

یک سرور TeamTalk را در لینوکس تنظیم کنید

TeamTalk یک سیستم کنفرانس است که به کاربران امکان می دهد مکالمات صوتی / تصویری با کیفیت بالا ، چت متنی ، انتقال فایل ها و صفحه های به اشتراک بگذارند. من

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

Vultr یک ویژگی را فراهم می کند که به شما امکان می دهد با ایجاد یک نمونه جدید ، کلیدهای SSH را از قبل نصب کنید. این اجازه می دهد تا به کاربر root دسترسی داشته باشید ، با این حال ، th

نحوه نصب انجمن NodeBB در FreeBSD 12

نحوه نصب انجمن NodeBB در FreeBSD 12

با استفاده از یک سیستم متفاوت؟ NodeBB یک نرم افزار انجمن مبتنی بر Node.js است. از سوکت های وب برای تعامل فوری و اعلامیه های زمان واقعی استفاده می کند. NodeB

نصب و راه اندازی ZNC در اوبونتو

نصب و راه اندازی ZNC در اوبونتو

ZNC یک پیشرانه پیشرفته شبکه IRC است که تمام وقت بهم متصل می شود تا مشتری IRC بتواند بدون از دست دادن جلسه گپ قطع یا وصل شود.

نحوه نصب Ranger Terminal File Manager در لینوکس

نحوه نصب Ranger Terminal File Manager در لینوکس

رنجر یک مدیر فایل مبتنی بر خط فرمان است که دارای کلیدهای اتصال VI است. این برنامه یک رابط لعنتی مینیمالیستی و زیبا با نمای سلسله مراتب فهرست ارائه می دهد