OpenBSD에서 Spiped를 사용하여 SSH 액세스 보호

SSH 액세스는 서버 관리를위한 가장 중요한 진입 점이므로 널리 사용되는 공격 경로가되었습니다.

SSH를 보호하는 기본 단계에는 루트 액세스 비활성화, 암호 인증 해제 (및 대신 키 사용) 및 포트 변경 (일반 포트 스캐너 및 로그 스팸 최소화를 제외하고 보안과 거의 관련이 없음)이 포함됩니다.

다음 단계는 연결 추적 기능이있는 PF 방화벽 솔루션입니다. 이 솔루션은 연결 상태를 관리하고 연결이 너무 많은 IP를 차단합니다. 이것은 훌륭하게 작동하며 PF와는 매우 쉽지만 SSH 데몬은 여전히 ​​인터넷에 노출되어 있습니다.

외부에서 SSH에 완전히 액세스 할 수 없게 만드는 것은 어떻습니까? 이곳은 스파이 가 들어온 곳 입니다. 홈페이지에서 :

Spiped ( "ess-pipe-dee"로 발음)는 소켓 주소간에 대칭 적으로 암호화되고 인증 된 파이프를 생성하여 하나의 주소 (예 : localhost의 UNIX 소켓)에 연결하고 다른 포트에 투명하게 연결되도록하는 유틸리티입니다. 주소 (예 : 다른 시스템의 UNIX 소켓) 이것은 'ssh -L'기능과 유사하지만 SSH를 사용하지 않으며 사전 공유 된 대칭 키가 필요합니다.

큰! 운 좋게도 모든 준비 작업을 수행하는 고품질 OpenBSD 패키지가 있으므로이를 설치하여 시작할 수 있습니다.

sudo pkg_add spiped

이것은 또한 우리를 위해 멋진 init 스크립트를 설치하므로 계속 사용할 수 있습니다.

sudo rcctl enable spiped

그리고 마지막으로 시작하십시오.

sudo rcctl start spiped

init 스크립트는 우리를 위해 키가 생성되었는지 확인합니다 (로컬 머신에 약간 필요함).

지금해야 할 일은 sshd공개 주소에서 수신 대기 를 비활성화 하고 포트 22를 차단하고 포트 8022를 허용하는 것입니다 (기본적으로 spiped init 스크립트에서 사용됨).

/etc/ssh/sshd_config파일을 열고 ListenAddress읽을 행을 변경하고 주석을 해제하십시오 127.0.0.1.

ListenAddress 127.0.0.1

포트 차단에 PF 규칙을 사용하는 경우 포트 8022를 전달하고 포트 22는 차단 된 상태로 두어야합니다. 예 :

pass in on egress proto tcp from any to any port 8022

규칙을 다시로드하여 활성화하십시오.

sudo pfctl -f /etc/pf.conf

이제 생성 된 스 파이프 키 ( )를 서버에서 로컬 머신 으로 복사/etc/spiped/spiped.key 하고 SSH 구성을 다음 라인을 따라 조정하면됩니다.

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spiped분명히 로컬 컴퓨터에도 설치 해야합니다 . 키를 복사하고 이름 / 경로를 조정 한 경우 파일 ProxyCommand에서 해당 행에 연결할 수 있어야 ~/.ssh/config합니다.

작동하는지 확인한 후 sshd서버에서 다시 시작할 수 있습니다 .

sudo rcctl restart sshd

그리고 그게 다야! 이제 하나의 큰 공격 경로를 완전히 제거했으며 공용 인터페이스에서 하나의 서비스 수신 대기를 줄였습니다. SSH 연결은 이제 localhost에서 온 것으로 나타납니다. 예를 들면 다음과 같습니다.

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultr 사용의 이점은 각 Vultr VPS가 우연히 자신을 잠그는 경우 사용할 수있는 멋진 온라인 VNC 유형 클라이언트를 제공한다는 것입니다. 실험 해보세요!