Home » » Bescherm SSH-toegang met Spiped On OpenBSD

Bescherm SSH-toegang met Spiped On OpenBSD

Aangezien SSH-toegang het belangrijkste toegangspunt is voor het beheer van uw server, is het een veelgebruikte aanvalsvector geworden.

Basisstappen om SSH te beveiligen zijn onder meer: ​​root-toegang uitschakelen, wachtwoordverificatie helemaal uitschakelen (en in plaats daarvan sleutels gebruiken) en poorten wijzigen (weinig te maken met beveiliging behalve het minimaliseren van gangbare poortscanners en logboekspam).

De volgende stap is een PF-firewall-oplossing met het volgen van verbindingen. Deze oplossing beheert de verbindingsstatussen en blokkeert elk IP-adres dat te veel verbindingen heeft. Dit werkt geweldig en is heel gemakkelijk te doen met PF, maar de SSH-daemon is nog steeds blootgesteld aan internet.

Hoe zit het met het volledig ontoegankelijk maken van SSH van buitenaf? Dit is waar Spiped binnenkomt. Vanaf de startpagina:

Spiped (uitgesproken als "ess-pipe-dee") is een hulpprogramma voor het maken van symmetrisch gecodeerde en geverifieerde buizen tussen socketadressen, zodat men verbinding kan maken met één adres (bijvoorbeeld een UNIX-socket op localhost) en op transparante wijze een verbinding tot stand kan brengen met een ander adres (bijvoorbeeld een UNIX-socket op een ander systeem). Dit is vergelijkbaar met de 'ssh -L'-functionaliteit, maar gebruikt geen SSH en vereist een vooraf gedeelde symmetrische sleutel.

Super goed! Gelukkig voor ons heeft het een hoogwaardig OpenBSD-pakket dat al het voorbereidende werk voor ons doet, dus we kunnen beginnen met het te installeren:

sudo pkg_add spiped

Dit installeert ook een mooi init-script voor ons, zodat we door kunnen gaan en het kunnen inschakelen:

sudo rcctl enable spiped

En begin het eindelijk:

sudo rcctl start spiped

Het init-script zorgt ervoor dat de sleutel voor ons wordt gemaakt (die we straks op een lokale computer nodig hebben).

Wat we nu moeten doen, is het sshdluisteren naar openbare adressen uitschakelen , poort 22 blokkeren en poort 8022 toestaan ​​(die standaard wordt gebruikt in het gespipte init-script).

Open /etc/ssh/sshd_configbestand en verander (en verwijder commentaar) de ListenAddressregel om te lezen 127.0.0.1:

ListenAddress 127.0.0.1

Als u PF-regels gebruikt voor poortblokkering, zorg er dan voor dat u poort 8022 doorgeeft (en u kunt poort 22 geblokkeerd laten), bijvoorbeeld:

pass in on egress proto tcp from any to any port 8022

Zorg ervoor dat u de regels opnieuw laadt om deze actief te maken:

sudo pfctl -f /etc/pf.conf

Nu hoeven we alleen maar de gegenereerde spiped key ( ) van de server naar een lokale machine te kopiëren/etc/spiped/spiped.key en onze SSH-configuratie aan te passen, iets in de volgende zin:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Je moet spipe/spipednatuurlijk ook op een lokale computer hebben geïnstalleerd. Als je de sleutel hebt gekopieerd en de namen / paden hebt aangepast, dan zou je verbinding moeten kunnen maken met die ProxyCommandregel in je ~/.ssh/configbestand.

Nadat u heeft bevestigd dat het werkt, kunnen we opnieuw opstarten sshdop een server:

sudo rcctl restart sshd

En dat is het! Nu heb je één grote aanvalsvector volledig geëlimineerd en heb je één service minder die op een openbare interface luistert. Uw SSH-verbindingen zouden nu afkomstig moeten zijn van localhost, bijvoorbeeld:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Een voordeel van het gebruik van Vultr is dat elke Vultr VPS een mooie online VNC-type client biedt die we kunnen gebruiken voor het geval we ons per ongeluk buitensluiten. Experimenteer maar!


Tags: #BSD #Networking

Leave a Comment

Hoe Blacklistd op FreeBSD 11.1 te installeren

Hoe Blacklistd op FreeBSD 11.1 te installeren

Inleiding Elke service die is verbonden met internet is een potentieel doelwit voor brute-force-aanvallen of ongerechtvaardigde toegang. Er zijn tools zoals fail2ba

Hoe Neos CMS op FreeBSD 12 te installeren

Hoe Neos CMS op FreeBSD 12 te installeren

Gebruikt u een ander systeem? Neos is een Content Application Platform met een CMS en een applicatieframework als kern. Deze gids laat u zien hoe u kunt installeren

Stel OpenBSD 5.6 in met volledige schijfversleuteling

Stel OpenBSD 5.6 in met volledige schijfversleuteling

Deze tutorial laat je zien hoe je OpenBSD 5.6 instelt met een volledig gecodeerde schijf op je Vultr VPS. Een opmerking over het versleutelingsgedeelte: de meeste datacenters rond th

Sudo gebruiken op Debian, CentOS en FreeBSD

Sudo gebruiken op Debian, CentOS en FreeBSD

Het gebruik van een sudo-gebruiker om toegang te krijgen tot een server en opdrachten uit te voeren op rootniveau is een veel voorkomende praktijk onder Linux en Unix-systeembeheerder. Het gebruik van een sud

OsTicket installeren op FreeBSD 12

OsTicket installeren op FreeBSD 12

Gebruikt u een ander systeem? osTicket is een open source ticketingsysteem voor klantenondersteuning. De broncode van osTicket wordt openbaar gehost op Github. In deze tutorial

Installeer Varnish 5 With Nginx op FreeBSD 11

Installeer Varnish 5 With Nginx op FreeBSD 11

Varnish is een open source cacheserver die inhoud van een webserver opslaat. Het wordt geïnstalleerd voor een webserver zoals Apache of Nginx. De cachin

Osclass installeren op FreeBSD 12

Osclass installeren op FreeBSD 12

Gebruikt u een ander systeem? Osclass is een open source-project waarmee u eenvoudig een geclassificeerde site kunt maken zonder enige technische kennis. Het is sourc

Hoe X-Cart 5 op FreeBSD 12 te installeren

Hoe X-Cart 5 op FreeBSD 12 te installeren

Gebruikt u een ander systeem? X-Cart is een uiterst flexibel open-source e-commerceplatform met tal van functies en integraties. X-Cart broncode is hoste

Hoe Omeka Classic 2.4 CMS op een FreeBSD 11 FAMP VPS te installeren

Hoe Omeka Classic 2.4 CMS op een FreeBSD 11 FAMP VPS te installeren

Gebruikt u een ander systeem? Omeka Classic 2.4 CMS is een gratis en open source digitaal publicatieplatform en Content Management System (CMS) voor het delen van digita

Wiki.js installeren op FreeBSD 11

Wiki.js installeren op FreeBSD 11

Gebruikt u een ander systeem? Wiki.js is een gratis en open source, moderne wiki-app gebouwd op Node.js, MongoDB, Git en Markdown. De broncode van Wiki.js is openbaar

Directus 6.4 CMS installeren op een FreeBSD 11 FAMP VPS

Directus 6.4 CMS installeren op een FreeBSD 11 FAMP VPS

Gebruikt u een ander systeem? Directus 6.4 CMS is een krachtig en flexibel, gratis en open source Headless Content Management System (CMS) dat ontwikkelaars voorziet

Eenvoudige mailserver met Postfix, Dovecot en Sieve op FreeBSD 10

Eenvoudige mailserver met Postfix, Dovecot en Sieve op FreeBSD 10

Deze tutorial laat je zien hoe je een eenvoudige mailserver op FreeBSD 10 kunt krijgen, met Postfix als MTA, Dovecot als MDA en Sieve voor het sorteren van mail - over een hele

Uw eigen mailserver bouwen met FreeBSD 11

Uw eigen mailserver bouwen met FreeBSD 11

Het runnen van uw eigen e-mailserver kan behoorlijk lonend zijn. U bent de baas over uw gegevens. Het geeft u ook meer flexibiliteit met uw bezorgopties. Echter

Creëer een wisselbestand op FreeBSD 10

Creëer een wisselbestand op FreeBSD 10

Standaard zijn Vultr FreeBSD-servers niet geconfigureerd om swapruimte op te nemen. Als u van plan bent een wegwerp-cloudinstantie te gebruiken, hoeft u dat waarschijnlijk niet te doen

Het formaat van een schijf wijzigen in FreeBSD

Het formaat van een schijf wijzigen in FreeBSD

Het FreeBSD-besturingssysteem gebruikt UFS (Unix File System) als bestandssysteem voor rootpartities; ook wel bekend als freebsd-ufs in het geval van een upgrade

Hoe Flarum Forum op FreeBSD 12 te installeren

Hoe Flarum Forum op FreeBSD 12 te installeren

Gebruikt u een ander systeem? Flarum is een gratis en open source forumsoftware van de volgende generatie die online discussies leuk maakt. De broncode van Flarum wordt gehost o

Configureer MariaDB op OpenBSD 6

Configureer MariaDB op OpenBSD 6

In dit artikel laat Ill zien hoe je MariaDB op OpenBSD 6 installeert en configureert om toegankelijk te zijn voor een gechrooted webserver (Apache of Nginx). Je zult ook

Hoe Craft CMS op FreeBSD 12 te installeren

Hoe Craft CMS op FreeBSD 12 te installeren

Gebruikt u een ander systeem? Introductie Craft CMS is een open source CMS geschreven in PHP. De broncode van Craft CMS wordt gehost op GitHub. Deze gids zal je laten zien

Een eenvoudige website maken op Vultr met OpenBSD en httpd

Een eenvoudige website maken op Vultr met OpenBSD en httpd

Inleiding Het doel van deze gids is om u te laten zien hoe gemakkelijk het is om een ​​homepage voor uw website op Vultr te maken met OpenBSD en httpd. Th creëren

Resize ZFS Storage Pool op FreeBSD / TrueOS

Resize ZFS Storage Pool op FreeBSD / TrueOS

Bij het upgraden van een VPS-exemplaar op Vultr wordt het formaat van een Linux-bestandssysteem automatisch aangepast. Bij het uitvoeren van FreeBSD met het geavanceerde ZFS-bestandssysteem, enige handmatige wor

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek

ReactOS: is dit de toekomst van Windows?

ReactOS: is dit de toekomst van Windows?

ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.

Blijf verbonden via WhatsApp Desktop-app 24 * 7

Blijf verbonden via WhatsApp Desktop-app 24 * 7

WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

Wat is een logboekbestandssysteem en hoe werkt het?

Wat is een logboekbestandssysteem en hoe werkt het?

Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.