Bescherm SSH-toegang met Spiped On OpenBSD

Aangezien SSH-toegang het belangrijkste toegangspunt is voor het beheer van uw server, is het een veelgebruikte aanvalsvector geworden.

Basisstappen om SSH te beveiligen zijn onder meer: ​​root-toegang uitschakelen, wachtwoordverificatie helemaal uitschakelen (en in plaats daarvan sleutels gebruiken) en poorten wijzigen (weinig te maken met beveiliging behalve het minimaliseren van gangbare poortscanners en logboekspam).

De volgende stap is een PF-firewall-oplossing met het volgen van verbindingen. Deze oplossing beheert de verbindingsstatussen en blokkeert elk IP-adres dat te veel verbindingen heeft. Dit werkt geweldig en is heel gemakkelijk te doen met PF, maar de SSH-daemon is nog steeds blootgesteld aan internet.

Hoe zit het met het volledig ontoegankelijk maken van SSH van buitenaf? Dit is waar Spiped binnenkomt. Vanaf de startpagina:

Spiped (uitgesproken als "ess-pipe-dee") is een hulpprogramma voor het maken van symmetrisch gecodeerde en geverifieerde buizen tussen socketadressen, zodat men verbinding kan maken met één adres (bijvoorbeeld een UNIX-socket op localhost) en op transparante wijze een verbinding tot stand kan brengen met een ander adres (bijvoorbeeld een UNIX-socket op een ander systeem). Dit is vergelijkbaar met de 'ssh -L'-functionaliteit, maar gebruikt geen SSH en vereist een vooraf gedeelde symmetrische sleutel.

Super goed! Gelukkig voor ons heeft het een hoogwaardig OpenBSD-pakket dat al het voorbereidende werk voor ons doet, dus we kunnen beginnen met het te installeren:

sudo pkg_add spiped

Dit installeert ook een mooi init-script voor ons, zodat we door kunnen gaan en het kunnen inschakelen:

sudo rcctl enable spiped

En begin het eindelijk:

sudo rcctl start spiped

Het init-script zorgt ervoor dat de sleutel voor ons wordt gemaakt (die we straks op een lokale computer nodig hebben).

Wat we nu moeten doen, is het sshdluisteren naar openbare adressen uitschakelen , poort 22 blokkeren en poort 8022 toestaan ​​(die standaard wordt gebruikt in het gespipte init-script).

Open /etc/ssh/sshd_configbestand en verander (en verwijder commentaar) de ListenAddressregel om te lezen 127.0.0.1:

ListenAddress 127.0.0.1

Als u PF-regels gebruikt voor poortblokkering, zorg er dan voor dat u poort 8022 doorgeeft (en u kunt poort 22 geblokkeerd laten), bijvoorbeeld:

pass in on egress proto tcp from any to any port 8022

Zorg ervoor dat u de regels opnieuw laadt om deze actief te maken:

sudo pfctl -f /etc/pf.conf

Nu hoeven we alleen maar de gegenereerde spiped key ( ) van de server naar een lokale machine te kopiëren/etc/spiped/spiped.key en onze SSH-configuratie aan te passen, iets in de volgende zin:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Je moet spipe/spipednatuurlijk ook op een lokale computer hebben geïnstalleerd. Als je de sleutel hebt gekopieerd en de namen / paden hebt aangepast, dan zou je verbinding moeten kunnen maken met die ProxyCommandregel in je ~/.ssh/configbestand.

Nadat u heeft bevestigd dat het werkt, kunnen we opnieuw opstarten sshdop een server:

sudo rcctl restart sshd

En dat is het! Nu heb je één grote aanvalsvector volledig geëlimineerd en heb je één service minder die op een openbare interface luistert. Uw SSH-verbindingen zouden nu afkomstig moeten zijn van localhost, bijvoorbeeld:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Een voordeel van het gebruik van Vultr is dat elke Vultr VPS een mooie online VNC-type client biedt die we kunnen gebruiken voor het geval we ons per ongeluk buitensluiten. Experimenteer maar!