OpenBSDでSpipedを使用してSSHアクセスを保護する

SSHアクセスはサーバーを管理するための最も重要なエントリポイントであるため、広く使用されている攻撃ベクトルになっています。

SSHを保護するための基本的な手順には、ルートアクセスの無効化、パスワード認証の完全な無効化（および代わりにキーの使用）、およびポートの変更（一般的なポートスキャナーとログスパムを最小限に抑えること以外はセキュリティとはほとんど関係ありません）があります。

次のステップは、接続追跡を備えたPFファイアウォールソリューションです。このソリューションは、接続状態を管理し、接続が多すぎるIPをブロックします。これはうまく機能し、PFを使用して簡単に実行できますが、SSHデーモンはまだインターネットに公開されています。

外部からSSHに完全にアクセスできないようにするのはどうですか？これがspipedの出番です。ホームページから：

Spiped（「ess-pipe-dee」と発音）は、ソケットアドレス間で対称的に暗号化および認証されたパイプを作成するためのユーティリティです。これにより、あるアドレス（たとえば、localhost上のUNIXソケット）に接続し、別のアドレスに透過的に接続を確立できます。アドレス（たとえば、別のシステムのUNIXソケット）。これは「ssh -L」機能に似ていますが、SSHを使用せず、事前共有対称鍵が必要です。

すごい！幸いなことに、このパッケージには高品質のOpenBSDパッケージが含まれており、すべての準備作業が行われるため、まずはインストールすることから始められます。

sudo pkg_add spiped

これにより、素敵なinitスクリプトもインストールされるので、先に進んで有効にできます。

sudo rcctl enable spiped

そして最後にそれを開始します：

sudo rcctl start spiped

initスクリプトは、キーが作成されていることを確認します（ローカルコンピューターで少し必要になります）。

ここで必要なのはsshd、パブリックアドレスでのリッスンを無効にし、ポート22をブロックし、ポート8022を許可することです（これはデフォルトでspiped initスクリプトで使用されます）。

/etc/ssh/sshd_configファイルを開きListenAddress、読み取る行を変更（およびコメント解除）します127.0.0.1。

ListenAddress 127.0.0.1

ポートのブロックにPFルールを使用している場合は、ポート8022を渡すようにしてください（ポート22はブロックしたままにできます）。たとえば、次のようにします。

pass in on egress proto tcp from any to any port 8022

ルールを再ロードしてアクティブにします。

sudo pfctl -f /etc/pf.conf

ここで必要なのは、生成されたスパイキー（）をサーバーからローカルマシンにコピーし、/etc/spiped/spiped.keySSH構成を次のように調整することだけです。

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

もちろんspipe/spiped、ローカルマシンにもインストールする必要があります。キーをコピーして名前/パスを調整した場合はProxyCommand、~/.ssh/configファイル内のその行に接続できるはずです。

機能していることを確認したらsshd、サーバーで再起動できます。

sudo rcctl restart sshd

以上です！これで、1つの大きな攻撃ベクトルが完全に排除され、パブリックインターフェイスでリッスンするサービスが1つ少なくなりました。これで、SSH接続がlocalhostから行われたように見えるはずです。次に例を示します。

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultrを使用する利点は、各Vultr VPSが、誤って自分をロックアウトした場合に使用できる素晴らしいオンラインVNCタイプのクライアントを提供することです。離れて実験してください！