Protejați accesul SSH folosind Spiped On OpenBSD

Deoarece accesul SSH este cel mai important punct de intrare pentru administrarea serverului dvs., a devenit un vector de atac utilizat pe scară largă.

Pașii de bază pentru securizarea SSH includ: dezactivarea accesului rădăcină, dezactivarea completă a autentificării parolei (și utilizarea tastelor în schimb) și schimbarea porturilor (puțin de-a face cu securitatea, cu excepția minimizării scanerelor de porturi comune și a spamului de jurnal).

Următorul pas ar fi o soluție firewall PF cu urmărirea conexiunilor. Această soluție ar gestiona stările de conexiune și ar bloca orice IP care are prea multe conexiuni. Acest lucru funcționează excelent și este foarte ușor de făcut cu PF, dar demonul SSH este încă expus la Internet.

Ce zici de a face SSH complet inaccesibil din exterior? Aici intervine spiped . Din pagina de pornire:

Spiped (pronunțat "ess-pipe-dee") este o utilitate pentru crearea de conducte criptate și autentificate simetric între adresele soclului, astfel încât una se poate conecta la o adresă (de exemplu, o priză UNIX pe localhost) și să aibă în mod transparent o conexiune stabilită cu o altă adresa (de exemplu, o priză UNIX pe un sistem diferit). Aceasta este similară cu funcționalitatea „ssh-L”, dar nu folosește SSH și necesită o cheie simetrică partajată în prealabil.

Grozav! Din fericire pentru noi, are un pachet OpenBSD de înaltă calitate, care face toate pregătirile pentru noi, astfel încât să putem începe prin instalarea acestuia:

sudo pkg_add spiped

Acest lucru instalează, de asemenea, un script de inițiere frumos, astfel încât să putem merge înainte și să-l activăm:

sudo rcctl enable spiped

Și în sfârșit începeți-l:

sudo rcctl start spiped

Scriptul init te asigură că cheia este creată pentru noi (de care vom avea nevoie într-un pic de o mașină locală).

Ceea ce trebuie să facem acum, este să dezactivăm sshdascultarea pe adresa publică, să blocăm portul 22 și să permitem portul 8022 (care este implicit utilizat în scriptul init spip).

Deschideți /etc/ssh/sshd_configfișierul și schimbați (și necomentați) ListenAddresslinia pentru a citi 127.0.0.1:

ListenAddress 127.0.0.1

Dacă utilizați reguli PF pentru blocarea portului, asigurați-vă că treceți portul 8022 (și puteți lăsa portul 22 blocat), de exemplu:

pass in on egress proto tcp from any to any port 8022

Asigurați-vă că reîncărcați regulile pentru a-l activa:

sudo pfctl -f /etc/pf.conf

Acum nu ne trebuie decât să copiem cheia spipară generată ( /etc/spiped/spiped.key) de pe server pe o mașină locală și să reglăm configurația SSH, ceva de-a lungul următoarelor linii:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedEvident, trebuie să aveți instalat și pe o mașină locală. Dacă ați copiat cheia și ați ajustat numele / căile, atunci ar trebui să vă puteți conecta la acea ProxyCommandlinie din ~/.ssh/configfișierul dvs.

După ce ați confirmat că funcționează, putem reporni sshdpe un server:

sudo rcctl restart sshd

Si asta e! Acum ați eliminat complet un vector de atac mare și aveți un serviciu mai puțin ascultat pe o interfață publică. Conexiunile dvs. SSH ar trebui să pară acum provenite de la localhost, de exemplu:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Un avantaj al utilizării Vultr este că fiecare Vultr VPS oferă un client online de tip VNC frumos disponibil pe care îl putem folosi în cazul în care ne blocăm din greșeală. Experimentați departe!



Leave a Comment

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe