Lindungi Akses SSH Menggunakan Spiped On OpenBSD

Oleh kerana akses SSH adalah titik masuk terpenting untuk mentadbir pelayan anda, ia menjadi vektor serangan yang banyak digunakan.

Langkah-langkah asas untuk mengamankan SSH termasuk: menonaktifkan akses root, mematikan pengesahan kata laluan sama sekali (dan menggunakan kunci sebagai gantinya), dan menukar port (tidak ada hubungannya dengan keselamatan kecuali meminimumkan pengimbas port biasa dan spam log).

Langkah seterusnya adalah penyelesaian firewall PF dengan penjejakan sambungan. Penyelesaian ini akan menguruskan keadaan sambungan, dan menyekat mana-mana IP yang mempunyai terlalu banyak sambungan. Ini berfungsi dengan baik, dan sangat mudah dilakukan dengan PF, tetapi daemon SSH masih terdedah kepada Internet.

Bagaimana dengan menjadikan SSH sepenuhnya tidak dapat diakses dari luar? Di sinilah spiped masuk. Dari laman utama:

Spiped (diucapkan "ess-pipe-dee") adalah utiliti untuk membuat paip yang dienkripsi dan disahkan secara simetri antara alamat soket, supaya seseorang dapat menyambung ke satu alamat (contohnya, soket UNIX di localhost) dan secara telus mempunyai sambungan yang terjalin ke yang lain alamat (contohnya, soket UNIX pada sistem yang berbeza). Ini serupa dengan fungsi 'ssh -L', tetapi tidak menggunakan SSH dan memerlukan kunci simetri yang telah dikongsi sebelumnya.

Hebat! Nasib baik untuk kami, ia mempunyai pakej OpenBSD berkualiti tinggi yang melakukan semua persiapan untuk kami, jadi kami boleh memulakannya dengan memasangnya:

sudo pkg_add spiped

Ini juga memasang skrip init yang bagus untuk kita, jadi kita boleh terus maju dan mengaktifkannya:

sudo rcctl enable spiped

Dan akhirnya mulakannya:

sudo rcctl start spiped

Skrip init memastikan bahawa kunci dibuat untuk kita (yang akan kita perlukan pada mesin tempatan sebentar lagi).

Apa yang perlu kita lakukan sekarang, adalah untuk melumpuhkan sshddari mendengar alamat awam, blok port 22 dan membenarkan port 8022 (yang secara lalai digunakan dalam skrip init spiped).

Buka /etc/ssh/sshd_configfail dan ubah (dan unmentasikan) ListenAddressbaris untuk dibaca 127.0.0.1:

ListenAddress 127.0.0.1

Sekiranya anda menggunakan peraturan PF untuk menyekat port, pastikan untuk melewati port 8022 (dan anda boleh membiarkan port 22 disekat), misalnya:

pass in on egress proto tcp from any to any port 8022

Pastikan memuatkan semula peraturan untuk menjadikannya aktif:

sudo pfctl -f /etc/pf.conf

Sekarang yang kita perlukan hanyalah menyalin kunci spiped yang dihasilkan ( /etc/spiped/spiped.key) dari pelayan ke mesin tempatan dan menyesuaikan konfigurasi SSH kami, seperti berikut:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Anda mesti spipe/spipedmemasang mesin tempatan juga. Sekiranya anda telah menyalin kunci dan menyesuaikan nama / jalan, anda seharusnya dapat berhubung dengan ProxyCommandbaris tersebut dalam ~/.ssh/configfail anda .

Setelah anda mengesahkan bahawa ia berfungsi, kami boleh memulakan semula sshdpada pelayan:

sudo rcctl restart sshd

Dan itu sahaja! Sekarang anda telah menghapuskan satu vektor serangan besar, dan anda mempunyai satu perkhidmatan yang kurang mendengar pada antara muka awam. Sambungan SSH anda kini nampaknya berasal dari localhost, misalnya:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Manfaat menggunakan Vultr adalah bahawa setiap Vultr VPS menawarkan klien jenis VNC dalam talian yang tersedia yang boleh kita gunakan sekiranya kita tidak mengunci diri kita secara tidak sengaja. Cubalah!