OpenBSD पर छींटे का उपयोग करके SSH एक्सेस को सुरक्षित रखें

चूंकि SSH एक्सेस आपके सर्वर को प्रशासित करने के लिए सबसे महत्वपूर्ण प्रवेश बिंदु है, इसलिए यह एक व्यापक रूप से इस्तेमाल किया जाने वाला हमला वेक्टर बन गया है।

SSH को सुरक्षित करने के लिए मूल चरणों में शामिल हैं: रूट एक्सेस को अक्षम करना, पासवर्ड प्रमाणीकरण को पूरी तरह से बंद करना (और इसके बजाय कुंजियों का उपयोग करना), और बंदरगाहों को बदलना (सामान्य पोर्ट स्कैनर और लॉग स्पैम को कम करने के अलावा सुरक्षा के साथ कम करने के लिए)।

अगला कदम कनेक्शन ट्रैकिंग के साथ पीएफ फ़ायरवॉल समाधान होगा। यह समाधान कनेक्शन राज्यों का प्रबंधन करेगा, और किसी भी आईपी को ब्लॉक करेगा जिसमें बहुत अधिक कनेक्शन हैं। यह महान काम करता है, और पीएफ के साथ करना बहुत आसान है, लेकिन एसएसएच डेमन अभी भी इंटरनेट के संपर्क में है।

एसएसएच को बाहर से पूरी तरह से दुर्गम बनाने के बारे में कैसे? यह वह जगह है जहाँ स्पिपेड आता है। मुखपृष्ठ से:

स्पिप्ड (उच्चारण "निबंध-पाइप-डी") सॉकेट पते के बीच सममित रूप से एन्क्रिप्टेड और प्रामाणिक पाइप बनाने के लिए एक उपयोगिता है, ताकि एक पते से कनेक्ट हो सके (उदाहरण के लिए, स्थानीयहोस्ट पर एक यूनिक्स सॉकेट) और पारदर्शी रूप से दूसरे के लिए स्थापित कनेक्शन है पता (जैसे, एक अलग प्रणाली पर एक यूनिक्स सॉकेट)। यह 'ssh -L' कार्यक्षमता के समान है, लेकिन SSH का उपयोग नहीं करता है और इसे पूर्व-साझा सममित कुंजी की आवश्यकता होती है।

महान! हमारे लिए सौभाग्य से, यह एक उच्च गुणवत्ता वाला OpenBSD पैकेज है जो हमारे लिए सभी प्रस्तुत करने का काम करता है, इसलिए हम इसे स्थापित करके शुरू कर सकते हैं:

sudo pkg_add spiped

यह हमारे लिए एक अच्छी इनइट स्क्रिप्ट भी स्थापित करता है, जिससे हम आगे बढ़ सकते हैं और इसे सक्षम कर सकते हैं:

sudo rcctl enable spiped

और अंत में इसे शुरू करें:

sudo rcctl start spiped

Init स्क्रिप्ट यह सुनिश्चित करती है क�� कुंजी हमारे लिए बनाई गई है (जिसे हमें एक स्थानीय मशीन में थोड़ी आवश्यकता होगी)।

अब हमें क्या करना है, sshdसार्वजनिक पते पर सुनने से अक्षम करना है, पोर्ट 22 को ब्लॉक करें और पोर्ट 8022 की अनुमति दें (जो कि स्पाईड इनिट स्क्रिप्ट में डिफ़ॉल्ट रूप से उपयोग किया जाता है)।

/etc/ssh/sshd_configफ़ाइल खोलें और ListenAddressपढ़ने के लिए लाइन (और असहजता) 127.0.0.1:

ListenAddress 127.0.0.1

यदि आप पोर्ट ब्लॉकिंग के लिए पीएफ नियमों का उपयोग कर रहे हैं, तो पोर्ट 8022 को पास करना सुनिश्चित करें (और आप पोर्ट 22 को अवरुद्ध छोड़ सकते हैं), उदाहरण के लिए:

pass in on egress proto tcp from any to any port 8022

इसे सक्रिय करने के लिए नियमों क��� पुनः लोड करना सुनिश्चित करें:

sudo pfctl -f /etc/pf.conf

अब हमें बस एक स्थानीय मशीन पर सर्वर से उत्पन्न स्पाईड की ( ) को कॉपी करना है /etc/spiped/spiped.keyऔर हमारे SSH कॉन्फ़िगरेशन को एडजस्ट करना है।

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

आपको spipe/spipedस्थानीय मशीन पर भी स्थापित करने की आवश्यकता है, जाहिर है। यदि आपने कुंजी को कॉपी किया है और नामों / रास्तों को समायोजित किया है, तो आपको ProxyCommandअपनी ~/.ssh/configफ़ाइल में उस पंक्ति से जुड़ने में सक्षम होना चाहिए ।

आपके द्वारा पुष्टि करने के बाद कि यह काम कर रहा है, हम sshdसर्वर पर पुनः आरंभ कर सकते हैं :

sudo rcctl restart sshd

और बस! अब आपने एक बड़े हमले के वेक्टर को पूरी तरह से समाप्त कर दिया है, और आपके पास एक सार्वजनिक इंटरफ़ेस पर सुनने की कम सेवा है। आपके SSH कनेक्शन अब लोकलहोस्ट से आए हुए दिखाई देने चाहिए, उदाहरण के लिए:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultr का उपयोग करने का एक लाभ यह है कि प्रत्येक Vultr VPS एक अच्छा ऑनलाइन VNC- प्रकार का क्लाइंट उपलब्ध कराता है, जिसका उपयोग हम उस स्थिति में कर सकते हैं जब हम गलती से खुद को लॉक कर लेते हैं। प्रयोग दूर!