Proteger o acesso SSH usando Spiped no OpenBSD

Como o acesso SSH é o ponto de entrada mais importante para administrar o servidor, ele se tornou um vetor de ataque amplamente usado.

As etapas básicas para proteger o SSH incluem: desativar o acesso root, desativar completamente a autenticação de senha (e usar chaves) e alterar as portas (pouco a ver com segurança, exceto a minimização de scanners de porta comuns e spam de log).

O próximo passo seria uma solução de firewall PF com rastreamento de conexão. Essa solução gerenciaria os estados de conexão e bloqueava qualquer IP com muitas conexões. Isso funciona muito bem e é muito fácil de fazer com o PF, mas o daemon SSH ainda está exposto à Internet.

Que tal tornar o SSH completamente inacessível do lado de fora? É aqui que entra o spiped . Na página inicial:

Spiped (pronunciado "ess-pipe-dee") é um utilitário para criar pipes criptografados e autenticados simetricamente entre endereços de soquete, para que um possa se conectar a um endereço (por exemplo, um soquete UNIX no host local) e tenha uma conexão estabelecida de forma transparente. endereço (por exemplo, um soquete UNIX em um sistema diferente). Isso é semelhante à funcionalidade 'ssh -L', mas não usa SSH e requer uma chave simétrica pré-compartilhada.

Ótimo! Felizmente para nós, ele possui um pacote OpenBSD de alta qualidade que faz toda a preparação para nós, para que possamos começar instalando-o:

sudo pkg_add spiped

Isso também instala um bom script de inicialização para nós, para que possamos prosseguir e habilitá-lo:

sudo rcctl enable spiped

E finalmente inicie-o:

sudo rcctl start spiped

O script init garante que a chave seja criada para nós (que será necessária em uma máquina local daqui a pouco).

O que precisamos fazer agora é desativar a sshdescuta no endereço público, bloquear a porta 22 e permitir a porta 8022 (que por padrão é usada no script init com spip).

Abra o /etc/ssh/sshd_configarquivo e altere (e remova o comentário) da ListenAddresslinha para ler 127.0.0.1:

ListenAddress 127.0.0.1

Se você estiver usando regras de PF para bloqueio de porta, certifique-se de passar a porta 8022 (e você pode deixar a porta 22 bloqueada), por exemplo:

pass in on egress proto tcp from any to any port 8022

Certifique-se de recarregar as regras para ativá-lo:

sudo pfctl -f /etc/pf.conf

Agora tudo o que precisamos é copiar a chave com spip ( /etc/spiped/spiped.key) gerada do servidor para uma máquina local e ajustar nossa configuração SSH, algo ao longo das seguintes linhas:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Você precisa ter spipe/spipedinstalado em uma máquina local também, obviamente. Se você copiou a chave e ajustou os nomes / caminhos, poderá conectar-se a essa ProxyCommandlinha no seu ~/.ssh/configarquivo.

Depois de confirmar que está funcionando, podemos reiniciar sshdem um servidor:

sudo rcctl restart sshd

E é isso! Agora você eliminou completamente um grande vetor de ataque e tem um serviço a menos ouvindo em uma interface pública. Suas conexões SSH agora devem parecer ter vindo do localhost, por exemplo:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Um benefício do uso do Vultr é que cada Vultr VPS oferece um bom cliente on-line do tipo VNC disponível, que podemos usar no caso de nos bloquearmos acidentalmente. Experimente!