Home » » Proteggi laccesso SSH usando Spiped su OpenBSD

Proteggi laccesso SSH usando Spiped su OpenBSD

Poiché l'accesso SSH è il punto di accesso più importante per l'amministrazione del server, è diventato un vettore di attacco ampiamente utilizzato.

I passaggi di base per proteggere SSH includono: disabilitare l'accesso root, disattivare del tutto l'autenticazione della password (e utilizzare invece le chiavi) e cambiare le porte (poco a che fare con la sicurezza tranne minimizzare gli scanner delle porte comuni e registrare lo spam).

Il prossimo passo sarebbe una soluzione firewall PF con tracciamento della connessione. Questa soluzione gestirà gli stati di connessione e bloccherebbe qualsiasi IP che abbia troppe connessioni. Funziona benissimo ed è molto facile da fare con PF, ma il demone SSH è ancora esposto a Internet.

Che ne dici di rendere SSH completamente inaccessibile dall'esterno? È qui che entra in gioco spiped . Dalla homepage:

Spiped (pronunciato "ess-pipe-dee") è un'utilità per creare pipe crittografate e autenticate simmetricamente tra gli indirizzi socket, in modo che uno possa connettersi a un indirizzo (ad esempio un socket UNIX su localhost) e avere una connessione stabilita in modo trasparente con un altro indirizzo (ad es. un socket UNIX su un sistema diverso). È simile alla funzionalità 'ssh -L', ma non utilizza SSH e richiede una chiave simmetrica precondivisa.

Grande! Fortunatamente per noi, ha un pacchetto OpenBSD di alta qualità che fa tutto il lavoro di preparazione per noi, quindi possiamo iniziare installandolo:

sudo pkg_add spiped

Questo installa anche un bel script di inizializzazione per noi, così possiamo andare avanti e abilitarlo:

sudo rcctl enable spiped

E finalmente avviarlo:

sudo rcctl start spiped

Lo script init si assicura che la chiave venga creata per noi (di cui avremo bisogno su un computer locale tra poco).

Ciò che dobbiamo fare ora è disabilitare l' sshdascolto su un indirizzo pubblico, bloccare la porta 22 e consentire la porta 8022 (che viene utilizzata per impostazione predefinita nello script init spiped).

Apri il /etc/ssh/sshd_configfile e modifica (e decommenta) la ListenAddressriga da leggere 127.0.0.1:

ListenAddress 127.0.0.1

Se stai usando le regole PF per il blocco delle porte, assicurati di passare la porta 8022 (e puoi lasciare la porta 22 bloccata), ad esempio:

pass in on egress proto tcp from any to any port 8022

Assicurati di ricaricare le regole per renderlo attivo:

sudo pfctl -f /etc/pf.conf

Ora tutto ciò di cui abbiamo bisogno è copiare la chiave generata ( /etc/spiped/spiped.key) generata dal server su un computer locale e regolare la nostra configurazione SSH, seguendo le seguenti linee:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

È necessario aver spipe/spipedinstallato anche su un computer locale, ovviamente. Se hai copiato la chiave e modificato i nomi / percorsi, dovresti riuscire a connetterti con quella ProxyCommandlinea nel tuo ~/.ssh/configfile.

Dopo aver verificato che funziona, possiamo riavviare sshdsu un server:

sudo rcctl restart sshd

E questo è tutto! Ora hai eliminato completamente un vettore di attacco di grandi dimensioni e hai un servizio in meno in ascolto su un'interfaccia pubblica. Le connessioni SSH ora dovrebbero apparire come provenienti da localhost, ad esempio:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Un vantaggio nell'uso di Vultr è che ogni VPS Vultr offre un bel client di tipo VNC online disponibile che possiamo usare nel caso in cui ci blocchiamo accidentalmente. Sperimenta via!


Tags: #BSD #Networking

Leave a Comment

Come installare Blacklistd su FreeBSD 11.1

Come installare Blacklistd su FreeBSD 11.1

Introduzione Qualsiasi servizio connesso a Internet è un potenziale bersaglio di attacchi di forza bruta o accesso ingiustificato. Esistono strumenti come fail2ba

Installa OpenBSD 5.6 con la crittografia del disco completo

Installa OpenBSD 5.6 con la crittografia del disco completo

Questo tutorial ti mostrerà come configurare OpenBSD 5.6 con un disco completamente crittografato sul tuo VPS Vultr. Una nota sulla parte di crittografia: la maggior parte dei datacenter intorno a th

Come usare Sudo su Debian, CentOS e FreeBSD

Come usare Sudo su Debian, CentOS e FreeBSD

Luso di un utente sudo per accedere a un server ed eseguire comandi a livello di root è una pratica molto comune tra Linux e Unix Systems Administrator. Luso di un sud

Installa TaskServer (taskd) su FreeBSD 11

Installa TaskServer (taskd) su FreeBSD 11

Usi un sistema diverso? TaskWarrior è uno strumento di gestione del tempo open source che è un miglioramento dellapplicazione Todo.txt e dei suoi cloni. A causa di th

Come installare osTicket su FreeBSD 12

Come installare osTicket su FreeBSD 12

Usi un sistema diverso? osTicket è un sistema di ticket di supporto clienti open source. Il codice sorgente di osTicket è ospitato pubblicamente su Github. In questo tutorial

Installa Varnish 5 con Nginx su FreeBSD 11

Installa Varnish 5 con Nginx su FreeBSD 11

Varnish è un server cache open source che memorizza il contenuto da un server Web. È installato di fronte a un server Web come Apache o Nginx. La cache

Come installare Osclass su FreeBSD 12

Come installare Osclass su FreeBSD 12

Usi un sistema diverso? Osclass è un progetto open source che ti consente di creare facilmente un sito classificato senza alcuna conoscenza tecnica. È sourc

Come installare Wiki.js su FreeBSD 11

Come installare Wiki.js su FreeBSD 11

Usi un sistema diverso? Wiki.js è unapp wiki moderna, gratuita e open source, costruita su Node.js, MongoDB, Git e Markdown. Il codice sorgente di Wiki.js è publicl

Come installare Directus 6.4 CMS su un FPS VPS di FreeBSD 11

Come installare Directus 6.4 CMS su un FPS VPS di FreeBSD 11

Usi un sistema diverso? Directus 6.4 CMS è un sistema di gestione dei contenuti senza testa (CMS) potente e flessibile, gratuito e open source che fornisce agli sviluppatori

Mailserver semplice con Postfix, Dovecot e setaccio su FreeBSD 10

Mailserver semplice con Postfix, Dovecot e setaccio su FreeBSD 10

Questo tutorial ti mostrerà come ottenere un semplice server di posta su FreeBSD 10, con Postfix come MTA, Dovecot come MDA e Sieve per lordinamento della posta - tutto su un

Costruisci il tuo server di posta con FreeBSD 11

Costruisci il tuo server di posta con FreeBSD 11

Gestire il proprio server di posta elettronica può essere abbastanza gratificante. Sei responsabile dei tuoi dati. Ti consente anche una maggiore flessibilità con le tue opzioni di consegna. però

Crea file di scambio su FreeBSD 10

Crea file di scambio su FreeBSD 10

Immediatamente, i server Vultr FreeBSD non sono configurati per includere lo spazio di scambio. Se la tua intenzione è per unistanza cloud usa e getta, probabilmente non ne hai bisogno

Come ridimensionare un disco in FreeBSD

Come ridimensionare un disco in FreeBSD

Il sistema operativo FreeBSD utilizza UFS (Unix File System) per il suo file system delle partizioni di root; altrimenti noto come freebsd-ufs In caso di aggiornamento

Come installare Flarum Forum su FreeBSD 12

Come installare Flarum Forum su FreeBSD 12

Usi un sistema diverso? Flarum è un software di forum di prossima generazione gratuito e open source che rende divertente la discussione online. Il codice sorgente di Flarum è ospitato o

Come installare Selfoss RSS Reader su un FPS VPS di FreeBSD 11

Come installare Selfoss RSS Reader su un FPS VPS di FreeBSD 11

Usi un sistema diverso? Selfoss RSS Reader è un reade self-hosted gratuito e open source basato su Web, streaming live, mashup, feed di notizie (RSS / Atom)

Come installare Craft CMS su FreeBSD 12

Come installare Craft CMS su FreeBSD 12

Usi un sistema diverso? Introduzione Craft CMS è un CMS open source scritto in PHP. Il codice sorgente di Craft CMS è ospitato su GitHub. Questa guida ti mostrerà

Come installare il forum NodeBB su FreeBSD 12

Come installare il forum NodeBB su FreeBSD 12

Usi un sistema diverso? NodeBB è un software per forum basato su Node.js. Utilizza socket Web per interazioni istantanee e notifiche in tempo reale. Il nodo B

Installa eSpeak su FreeBSD 12

Installa eSpeak su FreeBSD 12

Usi un sistema diverso? ESpeak può generare file audio di sintesi vocale (TTS). Questi possono essere utili per molte ragioni, come la creazione della tua Torino

Come installare LimeSurvey CE su FreeBSD 12

Come installare LimeSurvey CE su FreeBSD 12

Usi un sistema diverso? LimeSurvey è un software di sondaggio open source scritto in PHP. Il codice sorgente di LimeSurvey è ospitato su GitHub. Questa guida ti mostrerà

Come installare ProcessWire CMS 3.0 su un VPS FAMP di FreeBSD 11

Come installare ProcessWire CMS 3.0 su un VPS FAMP di FreeBSD 11

Usi un sistema diverso? ProcessWire CMS 3.0 è un sistema di gestione dei contenuti (CMS) semplice, flessibile e potente, gratuito e open source. ProcessWire CMS 3.

Lintelligenza artificiale può combattere con un numero crescente di attacchi ransomware?

Lintelligenza artificiale può combattere con un numero crescente di attacchi ransomware?

Gli attacchi ransomware sono in aumento, ma l'intelligenza artificiale può aiutare ad affrontare l'ultimo virus informatico? L'intelligenza artificiale è la risposta? Leggi qui sai è AI boone o bane

ReactOS: è questo il futuro di Windows?

ReactOS: è questo il futuro di Windows?

ReactOS, un sistema operativo open source e gratuito è qui con l'ultima versione. Può essere sufficiente alle esigenze degli utenti Windows moderni e abbattere Microsoft? Scopriamo di più su questo vecchio stile, ma un'esperienza del sistema operativo più recente.

Rimani connesso tramite lapp desktop WhatsApp 24*7

Rimani connesso tramite lapp desktop WhatsApp 24*7

Whatsapp ha finalmente lanciato l'app desktop per utenti Mac e Windows. Ora puoi accedere facilmente a Whatsapp da Windows o Mac. Disponibile per Windows 8+ e Mac OS 10.9+

In che modo lintelligenza artificiale può portare lautomazione dei processi al livello successivo?

In che modo lintelligenza artificiale può portare lautomazione dei processi al livello successivo?

Leggi questo per sapere come l'intelligenza artificiale sta diventando popolare tra le aziende di piccole dimensioni e come sta aumentando le probabilità di farle crescere e dare un vantaggio ai loro concorrenti.

Laggiornamento del supplemento macOS Catalina 10.15.4 sta causando più problemi che risolverli

Laggiornamento del supplemento macOS Catalina 10.15.4 sta causando più problemi che risolverli

Recentemente Apple ha rilasciato macOS Catalina 10.15.4 un aggiornamento supplementare per risolvere i problemi, ma sembra che l'aggiornamento stia causando più problemi che portano al bricking delle macchine mac. Leggi questo articolo per saperne di più

13 strumenti commerciali per lestrazione dei dati dai Big Data

13 strumenti commerciali per lestrazione dei dati dai Big Data

13 strumenti commerciali per l'estrazione dei dati dai Big Data

Che cosè un file system di journaling e come funziona?

Che cosè un file system di journaling e come funziona?

Il nostro computer memorizza tutti i dati in un modo organizzato noto come file system di journaling. È un metodo efficiente che consente al computer di cercare e visualizzare i file non appena si preme search.https://wethegeek.com/?p=94116&preview=true

Singolarità tecnologica: un lontano futuro della civiltà umana?

Singolarità tecnologica: un lontano futuro della civiltà umana?

Man mano che la scienza si evolve a un ritmo rapido, assumendo gran parte dei nostri sforzi, aumentano anche i rischi di sottoporci a una singolarità inspiegabile. Leggi, cosa potrebbe significare per noi la singolarità.

Uno sguardo a 26 tecniche di analisi dei Big Data: Parte 1

Uno sguardo a 26 tecniche di analisi dei Big Data: Parte 1

Uno sguardo a 26 tecniche di analisi dei Big Data: Parte 1

Limpatto dellintelligenza artificiale nella sanità 2021

Limpatto dellintelligenza artificiale nella sanità 2021

L'intelligenza artificiale nell'assistenza sanitaria ha compiuto grandi passi avanti negli ultimi decenni. Pertanto, il futuro dell'IA in sanità continua a crescere giorno dopo giorno.