Lindungi Akses SSH Menggunakan Spiped Pada OpenBSD

Karena akses SSH adalah titik masuk paling penting untuk administrasi server Anda, ini telah menjadi vektor serangan yang banyak digunakan.

Langkah-langkah dasar untuk mengamankan SSH meliputi: menonaktifkan akses root, mematikan otentikasi kata sandi sama sekali (dan sebagai gantinya menggunakan kunci), dan mengubah port (tidak ada hubungannya dengan keamanan kecuali meminimalkan pemindai port umum dan log spam).

Langkah selanjutnya adalah solusi firewall PF dengan pelacakan koneksi. Solusi ini akan mengatur status koneksi, dan memblokir IP yang memiliki terlalu banyak koneksi. Ini berfungsi dengan baik, dan sangat mudah dilakukan dengan PF, tetapi daemon SSH masih terbuka ke Internet.

Bagaimana kalau membuat SSH sepenuhnya tidak dapat diakses dari luar? Di sinilah spiped masuk. Dari beranda:

Spiped (diucapkan "ess-pipe-dee") adalah utilitas untuk membuat pipa yang dienkripsi dan diotentikasi secara simetris di antara alamat soket, sehingga orang dapat terhubung ke satu alamat (misalnya, soket UNIX di localhost) dan secara transparan memiliki koneksi yang dibuat ke yang lain alamat (mis. soket UNIX pada sistem yang berbeda). Ini mirip dengan fungsionalitas 'ssh -L', tetapi tidak menggunakan SSH dan memerlukan kunci simetris yang dibagikan sebelumnya.

Bagus! Untungnya bagi kami, ia memiliki paket OpenBSD berkualitas tinggi yang melakukan semua pekerjaan persiapan bagi kami, sehingga kami dapat mulai dengan menginstalnya:

sudo pkg_add spiped

Ini juga memasang skrip init yang bagus untuk kami, sehingga kami dapat melanjutkan dan mengaktifkannya:

sudo rcctl enable spiped

Dan akhirnya memulainya:

sudo rcctl start spiped

Skrip init memastikan bahwa kunci tersebut dibuat untuk kita (yang akan kita perlukan pada mesin lokal sebentar lagi).

Apa yang perlu kita lakukan sekarang, adalah untuk menonaktifkan sshddari mendengarkan pada alamat publik, memblokir port 22 dan mengizinkan port 8022 (yang secara default digunakan dalam skrip init yang di-spiped).

Buka /etc/ssh/sshd_configfile dan ubah (dan batalkan komentar) ListenAddressbaris untuk dibaca 127.0.0.1:

ListenAddress 127.0.0.1

Jika Anda menggunakan aturan PF untuk memblokir port, pastikan untuk melewati port 8022 (dan Anda dapat membiarkan port 22 diblokir), misalnya:

pass in on egress proto tcp from any to any port 8022

Pastikan memuat ulang aturan untuk membuatnya aktif:

sudo pfctl -f /etc/pf.conf

Sekarang yang kita butuhkan adalah menyalin kunci yang dibuat ( /etc/spiped/spiped.key) dari server ke mesin lokal dan menyesuaikan konfigurasi SSH kita, sesuatu di sepanjang baris berikut:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Anda perlu spipe/spipedmenginstal pada mesin lokal juga, jelas. Jika Anda telah menyalin kunci dan menyesuaikan nama / jalur, maka Anda harus dapat terhubung dengan ProxyCommandbaris itu di ~/.ssh/configfile Anda .

Setelah Anda mengkonfirmasi bahwa itu berfungsi, kami dapat memulai kembali sshddi server:

sudo rcctl restart sshd

Dan itu dia! Sekarang Anda telah sepenuhnya menghilangkan satu vektor serangan besar, dan Anda memiliki satu layanan yang kurang mendengarkan pada antarmuka publik. Koneksi SSH Anda seharusnya sekarang tampaknya berasal dari localhost, misalnya:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Keuntungan menggunakan Vultr adalah bahwa setiap Vultr VPS menawarkan klien tipe VNC online yang tersedia yang dapat kita gunakan jika kita tidak sengaja mengunci diri. Eksperimen!