Cara Mengamankan SSH Lebih Lanjut dengan Urutan Port-knocking di Ubuntu 18.04

• pengantar
• Prasyarat
• Langkah 1: Instalasi Knockd
• Langkah 2: aturan iptables
• Langkah 3: Konfigurasi Knockd
• Langkah 4: Menguji
• Kesimpulan

pengantar

Selain mengubah port default untuk SSH, dan menggunakan pasangan kunci untuk otentikasi, port knocking dapat digunakan untuk lebih mengamankan (atau lebih tepatnya, mengaburkan) server SSH Anda. Ini bekerja dengan menolak koneksi ke port jaringan SSH Anda. Ini pada dasarnya menyembunyikan fakta bahwa Anda menjalankan server SSH hingga serangkaian upaya koneksi dilakukan ke port yang telah ditentukan. Sangat aman dan mudah diimplementasikan, port knocking adalah salah satu cara terbaik untuk melindungi server Anda dari upaya koneksi SSH berbahaya.

Prasyarat

• Server Vultr yang menjalankan Ubuntu 18.04.
• Akses sudo.

Sebelum mengikuti langkah-langkah di bawah ini, jika Anda tidak masuk sebagai pengguna root, dapatkan shell root sementara dengan menjalankan sudo -idan memasukkan kata sandi Anda. Atau, Anda dapat menambahkan sudoke perintah yang ditunjukkan dalam artikel ini.

Langkah 1: Instalasi Knockd

Knockd adalah paket yang digunakan dalam kombinasi dengan iptables untuk mengimplementasikan port knocking di server Anda. Paket ' iptables-persistent' juga diperlukan.

apt update
apt install -y knockd iptables-persistent

Langkah 2: aturan iptables

Jalankan perintah berikut secara berurutan:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Perintah-perintah ini akan melakukan hal berikut, masing-masing:

• Instruksikan iptables untuk menjaga koneksi yang ada tetap hidup.
• Instruksikan iptables untuk menjatuhkan koneksi apa pun ke port tcp / 22 (jika daemon SSH Anda mendengarkan pada port selain 22, Anda harus memodifikasi perintah di atas.)
• Simpan kedua aturan ini agar tetap ada setelah reboot.

Langkah 3: Konfigurasi Knockd

Menggunakan editor teks pilihan Anda, buka file /etc/knockd.conf.

Anda akan melihat yang berikut ini:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Anda harus mengubah urutan port (pilih nomor port di atas 1024dan tidak digunakan oleh layanan lain), dan simpan dengan aman. Kombinasi ini harus diperlakukan seperti kata sandi. Jika dilupakan, Anda akan kehilangan akses ke SSH. Kami akan merujuk ke urutan baru ini sebagai x,y,z.

yang seq-timeoutgaris adalah jumlah detik Knockd akan menunggu klien untuk menyelesaikan urutan port-mengetuk. Sebaiknya ubah ini menjadi sesuatu yang lebih besar, terutama jika port-knocking akan dilakukan secara manual. Namun, nilai batas waktu yang lebih kecil lebih aman. Mengubahnya menjadi 15disarankan karena kami akan mengetuk manual dalam tutorial ini.

Ubah urutan pembukaan ke port yang Anda pilih:

[openSSH]
sequence    = x,y,z

Ubah nilai perintah sebagai berikut:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Sekarang ubah urutan penutupan sesuai:

[closeSSH]
sequence    = z,y,x

Simpan perubahan Anda dan keluar, dan buka file /etc/default/knockd:

• Ganti START_KNOCKD=0dengan START_KNOCKD=1.
• Tambahkan baris berikut ke akhir file: KNOCKD_OPTS="-i ens3"(ganti ens3dengan nama antarmuka jaringan publik Anda jika berbeda).
• Simpan dan keluar.

Sekarang mulai Knockd:

systemctl start knockd

Jika Anda sekarang memutuskan sambungan dari server Anda, Anda harus mengetuk port x, ydan zuntuk menghubungkan lagi.

Langkah 4: Menguji

Anda sekarang tidak akan dapat terhubung ke server SSH Anda.

Anda dapat menguji ketukan port dengan klien telnet.

Pengguna Windows dapat meluncurkan telnet dari command prompt. Jika telnet tidak diinstal, akses bagian "Program" dari Control Panel, lalu cari "Hidupkan atau matikan fitur Windows". Pada panel fitur, cari "Klien Telnet" dan aktifkan.

Di terminal / command prompt Anda ketik yang berikut ini:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Lakukan ini dalam lima belas detik, karena itulah batas yang ditentukan dalam konfigurasi. Sekarang, cobalah untuk terhubung ke server Anda melalui SSH. Itu akan dapat diakses.

Untuk menutup mengakses server SSH, jalankan perintah dalam urutan terbalik.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Kesimpulan

Bagian terbaik tentang menggunakan port knocking adalah bahwa jika dikonfigurasi bersama otentikasi kunci pribadi, hampir tidak ada kemungkinan orang lain bisa masuk kecuali seseorang mengetahui urutan port-knocking Anda dan memiliki kunci pribadi Anda.