Chroń dostęp SSH za pomocą Spiped na OpenBSD

Ponieważ dostęp SSH jest najważniejszym punktem wejścia do administrowania serwerem, stał się szeroko stosowanym wektorem ataków.

Podstawowe kroki w celu zabezpieczenia SSH obejmują: wyłączenie dostępu roota, całkowite wyłączenie uwierzytelniania hasła (i zamiast tego używanie kluczy) oraz zmianę portów (niewiele wspólnego z bezpieczeństwem, z wyjątkiem minimalizacji typowych skanerów portów i spamu w dzienniku).

Następnym krokiem byłoby rozwiązanie zapory ogniowej PF ze śledzeniem połączeń. To rozwiązanie zarządza stanami połączeń i blokuje każdy adres IP, który ma zbyt wiele połączeń. Działa to świetnie i jest bardzo łatwe w PF, ale demon SSH jest nadal narażony na działanie Internetu.

Co powiesz na to, aby SSH było całkowicie niedostępne z zewnątrz? To jest miejsce, gdzie przychodzi spiped . Ze strony głównej:

Spiped (wymawiane „ess-pipe-dee”) to narzędzie do tworzenia symetrycznie zaszyfrowanych i uwierzytelnionych potoków między adresami gniazd, aby można było połączyć się z jednym adresem (np. Gniazdem UNIX na localhost) i transparentnie nawiązać połączenie z innym adres (np. gniazdo UNIX w innym systemie). Jest to podobne do funkcji „ssh -L”, ale nie korzysta z SSH i wymaga wstępnie współdzielonego klucza symetrycznego.

Świetny! Na szczęście dla nas, ma wysokiej jakości pakiet OpenBSD, który wykonuje dla nas całą pracę przygotowawczą, więc możemy zacząć od instalacji:

sudo pkg_add spiped

Spowoduje to również zainstalowanie dla nas fajnego skryptu inicjującego, abyśmy mogli kontynuować i włączyć go:

sudo rcctl enable spiped

I wreszcie zacznij:

sudo rcctl start spiped

Skrypt init upewnia się, że klucz został dla nas utworzony (który za chwilę będziemy potrzebować na komputerze lokalnym).

To, co musimy teraz zrobić, to wyłączyć sshdsłuchanie na adresie publicznym, zablokować port 22 i zezwolić na port 8022 (który jest domyślnie używany w rozproszonym skrypcie init).

Otwórz /etc/ssh/sshd_configplik i zmień (i odkomentuj) ListenAddresswiersz do przeczytania 127.0.0.1:

ListenAddress 127.0.0.1

Jeśli używasz reguł PF do blokowania portów, pamiętaj, aby przekazać port 8022 (i możesz pozostawić port 22 zablokowany), np .:

pass in on egress proto tcp from any to any port 8022

Ponownie załaduj reguły, aby były aktywne:

sudo pfctl -f /etc/pf.conf

Teraz wszystko, czego potrzebujemy, to skopiowanie wygenerowanego klucza rozproszonego ( /etc/spiped/spiped.key) z serwera na komputer lokalny i dostosowanie naszej konfiguracji SSH, coś w następujący sposób:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Oczywiście musisz również spipe/spipedzainstalować na komputerze lokalnym. Jeśli skopiowałeś klucz i zmieniłeś nazwy / ścieżki, powinieneś być w stanie połączyć się z tą ProxyCommandlinią w swoim ~/.ssh/configpliku.

Po potwierdzeniu, że działa, możemy ponownie uruchomić sshdserwer:

sudo rcctl restart sshd

I to wszystko! Teraz całkowicie wyeliminowałeś jeden duży wektor ataku i masz mniej usług nasłuchujących na publicznym interfejsie. Wygląda na to, że Twoje połączenia SSH pochodzą z hosta lokalnego, na przykład:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Zaletą korzystania z Vultr jest to, że każdy Vultr VPS oferuje przyjemnego internetowego klienta typu VNC, z którego możemy skorzystać w przypadku, gdy przypadkowo się zablokujemy. Eksperymentuj!



Leave a Comment

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.