Home » » Hoe SSH verder te beveiligen met een poortklopvolgorde op Ubuntu 18.04

Hoe SSH verder te beveiligen met een poortklopvolgorde op Ubuntu 18.04

Invoering

Naast het wijzigen van de standaardpoort voor SSH en het gebruik van een sleutelpaar voor authenticatie, kan poortkloppen worden gebruikt om uw SSH-server verder te beveiligen (of nauwkeuriger te verbergen). Het werkt door verbindingen met uw SSH-netwerkpoort te weigeren. Dit verbergt in wezen het feit dat u een SSH-server gebruikt totdat een reeks verbindingspogingen wordt gedaan met vooraf gedefinieerde poorten. Port knocking is zeer veilig en eenvoudig te implementeren en is een van de beste manieren om uw server te beschermen tegen kwaadwillende SSH-verbindingspogingen.

Vereisten

  • Een Vultr-server met Ubuntu 18.04.
  • Sudo toegang.

Voordat u de onderstaande stappen volgt, moet u, als u niet bent aangemeld als rootgebruiker, een tijdelijke rootshell verkrijgen door sudo -iuw wachtwoord uit te voeren en in te voeren. Als alternatief kunt u zich voorbereiden sudoop de opdrachten in dit artikel.

Stap 1: Knockd-installatie

Knockd is het pakket dat wordt gebruikt in combinatie met iptables om port knocking op uw server te implementeren. Het ' iptables-persistent' pakket is ook vereist.

apt update
apt install -y knockd iptables-persistent

Stap 2: iptables regels

Voer de volgende opdrachten op volgorde uit:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Deze opdrachten doen respectievelijk het volgende:

  • Instrueer iptables om bestaande verbindingen in leven te houden.
  • Vraag iptables om elke verbinding met poort tcp / 22 te verbreken (als uw SSH-daemon luistert op een andere poort dan 22, moet u de bovenstaande opdracht dienovereenkomstig wijzigen.)
  • Bewaar deze twee regels zodat ze blijven bestaan ​​na een herstart.

Stap 3: Knockd-configuratie

Open het bestand met een teksteditor naar keuze /etc/knockd.conf.

Je ziet het volgende:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

U moet de volgorde van poorten wijzigen (kies hierboven poortnummers 1024en wordt niet gebruikt door andere services) en bewaar deze veilig. Deze combinatie moet worden behandeld als een wachtwoord. Als u dit vergeet, verliest u de toegang tot SSH. We zullen naar deze nieuwe reeks verwijzen als x,y,z.

de seq-timeoutregel is het aantal seconden dat Knockd wacht tot de client de poortklopvolgorde heeft voltooid. Het zou een goed idee zijn om dit in iets groters te veranderen, vooral als het poortkloppen handmatig wordt gedaan. Een kleinere time-outwaarde is echter veiliger. Het 15wordt aanbevolen om het te wijzigen, omdat we in deze tutorial handmatig zullen kloppen.

Wijzig de openingsvolgorde in de door u gekozen poorten:

[openSSH]
sequence    = x,y,z

Wijzig de opdrachtwaarde in het volgende:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Wijzig nu de sluitvolgorde overeenkomstig:

[closeSSH]
sequence    = z,y,x

Sla uw wijzigingen op en sluit af en open het bestand /etc/default/knockd:

  • Vervangen START_KNOCKD=0door START_KNOCKD=1.
  • Voeg de volgende regel toe aan het einde van het bestand: KNOCKD_OPTS="-i ens3"(vervang ens3door de naam van uw openbare netwerkinterface als deze afwijkt.)
  • Opslaan en afsluiten.

Start nu Knockd:

systemctl start knockd

Als je nu loskoppelen van uw server, dan moet je om aan te kloppen op de poorten x, yen zopnieuw te verbinden.

Stap 4: testen

U kunt nu geen verbinding meer maken met uw SSH-server.

U kunt poortkloppen testen met een telnet-client.

Windows-gebruikers kunnen telnet starten vanaf de opdrachtprompt. Als telnet niet is geïnstalleerd, ga dan naar het gedeelte "Programma's" van het Configuratiescherm en zoek naar "Windows-functies in- of uitschakelen". Zoek in het functiepaneel naar "Telnet Client" en schakel het in.

Typ het volgende in uw terminal / opdrachtprompt:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Doe dit allemaal in vijftien seconden, want dat is de limiet die is opgelegd in de configuratie. Probeer nu via SSH verbinding te maken met uw server. Het zal toegankelijk zijn.

Voer de opdrachten in omgekeerde volgorde uit om de toegang tot de SSH-server te sluiten.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Gevolgtrekking

Het beste deel van het gebruik van port knocking is dat als het wordt geconfigureerd naast authenticatie met een privésleutel, er vrijwel geen kans is dat iemand anders binnen kan komen, tenzij iemand uw volgorde van port-knocking kent en uw privésleutel heeft.


Tags: #Linux Guides #Security #System Admin #Ubuntu

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek

ReactOS: is dit de toekomst van Windows?

ReactOS: is dit de toekomst van Windows?

ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.

Blijf verbonden via WhatsApp Desktop-app 24 * 7

Blijf verbonden via WhatsApp Desktop-app 24 * 7

WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

Wat is een logboekbestandssysteem en hoe werkt het?

Wat is een logboekbestandssysteem en hoe werkt het?

Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.