Port puka do Debiana

• Krok 1: Instalowanie wymaganych pakietów
• Krok 2: Konfigurowanie iptables do korzystania z tej funkcji
• Krok 3: Wypróbujmy to
• Wniosek

Do tej pory prawdopodobnie zmieniłeś domyślny port SSH. Mimo to hakerzy mogą z łatwością skanować zakresy portów, aby odkryć ten port - ale dzięki pukaniu portów można oszukać skanery portów. Działa to tak, że klient SSH próbuje połączyć się z sekwencją portów, z których wszystkie odmówią połączenia, ale odblokują określony port, który zezwala na połączenie. Bardzo bezpieczny i prosty w instalacji. Pukanie portów jest jednym z najlepszych sposobów ochrony serwera przed nieautoryzowanymi próbami połączenia SSH.

W tym artykule dowiesz się, jak skonfigurować pukanie portów. Został napisany dla Debiana 7 (Wheezy), ale może także działać na innych wersjach Debiana i Ubuntu.

Krok 1: Instalowanie wymaganych pakietów

Zakładam, że masz już zainstalowany serwer SSH. Jeśli nie, uruchom następujące polecenia jako root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Następnie zainstaluj iptables.

apt-get install iptables

Nie ma wielu pakietów do zainstalowania - to sprawia, że ​​jest to idealne rozwiązanie do ochrony przed próbami użycia siły, a jednocześnie jest łatwe w konfiguracji.

Krok 2: Konfigurowanie iptables do korzystania z tej funkcji

Ponieważ Twój port SSH zamknie się po połączeniu, musimy upewnić się, że serwer pozwala ci pozostać połączonym, blokując inne próby połączenia. Wykonaj te polecenia na swoim serwerze jako root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Pozwoli to zachować istniejące połączenia, ale zablokuje wszystko inne na twoim porcie SSH.

Teraz skonfigurujmy knockd.

Tutaj dzieje się magia - będziesz mógł wybrać, które porty będą musiały zostać najpierw zniszczone. Otwórz edytor tekstowy do pliku /etc/knockd.conf.

nano /etc/knockd.conf

Będzie sekcja, która wygląda jak następujący blok.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

W tej sekcji będziesz mógł zmienić sekwencję portów, które należy zapukać. Na razie zostaniemy z portów 7000, 8000 i 9000. Zmiana seq_timeout = 5do seq_timeout = 10i po closeSSHczęści to samo dla seq_timeoutlinii. W closeSSHsekcji znajduje się również linia sekwencji , którą należy zmodyfikować.

Musimy włączyć knockd, więc ponownie otwórz swój edytor jako root.

nano /etc/default/knockd

Zmień 0 w sekcji START_KNOCKDna 1, a następnie zapisz i wyjdź.

Teraz zacznij knockd:

service knockd start

Świetny! Wszystko jest zainstalowane. Jeśli rozłączysz się z serwerem, będziesz musiał zapukać porty 7000, 8000 i 9000, aby połączyć się ponownie.

Krok 3: Wypróbujmy to

Jeśli wszystko zostało poprawnie zainstalowane, połączenie z serwerem SSH nie powinno być możliwe.

Możesz przetestować pukanie portów za pomocą klienta Telnet.

Użytkownicy systemu Windows mogą uruchomić telnet z wiersza polecenia. Jeśli telnet nie jest zainstalowany, przejdź do sekcji „Programy” w Panelu sterowania, a następnie zlokalizuj „Włącz lub wyłącz funkcje systemu Windows”. Na panelu funkcji znajdź „Klienta Telnet” i włącz go.

W swoim terminalu / wierszu polecenia wpisz:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Zrób to wszystko w dziesięć sekund, ponieważ jest to limit nałożony w konfiguracji. Teraz spróbuj połączyć się z serwerem za pośrednictwem SSH. Będzie dostępny.

Aby zamknąć serwer SSH, uruchom polecenia w odwrotnej kolejności.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Wniosek

Najlepsze w korzystaniu z pukania portów jest to, że jeśli jest skonfigurowany wraz z uwierzytelnianiem klucza prywatnego, praktycznie nie ma szans, że ktoś inny może się dostać, chyba że ktoś zna porty i klucz prywatny.