Cum să securizați mai mult SSH cu o secvență de port-knocking pe Ubuntu 18.04

Introducere

Pe lângă schimbarea portului implicit pentru SSH și folosirea unei perechi de chei pentru autentificare, pot fi utilizate pentru a securiza (sau mai exact, obscur) serverul SSH. Funcționează refuzând conexiunile la portul de rețea SSH. În mod esențial, se ascunde faptul că executați un server SSH până când o serie de încercări de conectare sunt făcute la porturile predefinite. Foarte sigur și simplu de implementat, ciocnirea porturilor este una dintre cele mai bune metode de a vă proteja serverul împotriva încercărilor de conexiune SSH dăunătoare.

Cerințe preliminare

  • Un server Vultr care rulează Ubuntu 18.04.
  • Acces Sudo.

Înainte de a urma pașii de mai jos, dacă nu sunteți autentificat ca utilizator rădăcină, vă rugăm să obțineți un shell root temporar, rulând sudo -iși introducând parola. În mod alternativ, este posibil sudosă prepari la comenzile prezentate în acest articol.

Pasul 1: Instalarea Knockd

Knockd este pachetul care este utilizat în combinație cu iptables pentru a pune în aplicare portul knocking pe serverul tău. Pachetul ' iptables-persistent' este de asemenea necesar.

apt update
apt install -y knockd iptables-persistent

Pasul 2: reguli iptables

Executați următoarele comenzi în ordine:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Aceste comenzi vor efectua următoarele:

  • Instruiți iptables pentru a menține în viață conexiunile existente.
  • Instruiți iptables să renunțe la orice conexiune la portul tcp / 22 (dacă demonul dvs. SSH ascultă pe un alt port decât 22, ar trebui să modificați comanda de mai sus.)
  • Salvați aceste două reguli, astfel încât acestea să persiste după repornire.

Pasul 3: Configurație Knockd

Cu un editor de text la alegere, deschideți fișierul /etc/knockd.conf.

Veți vedea următoarele:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Ar trebui să schimbați succesiunea porturilor (alegeți numerele de port de mai sus 1024și nefolosite de alte servicii) și să le stocați în siguranță. Această combinație trebuie tratată ca o parolă. Dacă uitați, veți pierde accesul la SSH. Vom fi referindu -se la această nouă secvență ca x,y,z.

seq-timeoutlinia este numărul de secunde Knockd va aștepta clientul pentru a finaliza secvența de porturi bate. Ar fi o idee bună să schimbați acest lucru în ceva mai mare, mai ales dacă baterea portului se va face manual. Cu toate acestea, o valoare mai mică a intervalului de timp este mai sigură. Modificarea 15este recomandată, deoarece vom bate manual în acest tutorial.

Schimbați secvența de deschidere la porturile alese:

[openSSH]
sequence    = x,y,z

Modificați valoarea comenzii la următoarele:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Acum schimbați secvența de închidere în consecință:

[closeSSH]
sequence    = z,y,x

Salvați modificările și ieșiți și deschideți fișierul /etc/default/knockd:

  • Înlocuiți START_KNOCKD=0cu START_KNOCKD=1.
  • Adăugați următoarea linie la sfârșitul fișierului KNOCKD_OPTS="-i ens3"((înlocuiți ens3cu numele interfeței dvs. de rețea publică dacă diferă.)
  • Salvează și ieși.

Acum începeți Knockd:

systemctl start knockd

Dacă vă deconectați acum de la serverul dvs., va trebui să bată la porturi x, yși zsă se conecteze din nou.

Pasul 4: Testare

Acum nu vă veți putea conecta la serverul dvs. SSH.

Puteți testa portul cu un client telnet.

Utilizatorii Windows pot lansa telnet din promptul de comandă. Dacă telnet-ul nu este instalat, accesați secțiunea „Programe” din Panoul de control, apoi localizați „Activarea sau dezactivarea funcțiilor Windows”. În panoul de funcții, localizați „Clientul Telnet” și activați-l.

În terminalul / promptul de comandă, introduceți următoarele:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Faceți toate acestea în cincisprezece secunde, deoarece aceasta este limita impusă în configurație. Acum, încercați să vă conectați la serverul dvs. prin SSH. Va fi accesibil.

Pentru a închide accesul la serverul SSH, executați comenzile în ordine inversă.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Concluzie

Cea mai bună parte a utilizării funcționării portului este că, dacă este configurat alături de autentificarea cu cheie privată, nu există aproape nicio șansă ca altcineva să poată intra în afară de cazul în care cineva știe secvența dvs. de port-knocking și deține cheia dvs. privată.



Leave a Comment

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe