Защитите SSH-доступ, используя Spiped On OpenBSD

Поскольку доступ по SSH является наиболее важной точкой входа для администрирования вашего сервера, он стал широко используемым вектором атак.

Основные шаги по обеспечению безопасности SSH включают в себя: отключение корневого доступа, полное отключение аутентификации по паролю (и использование ключей вместо) и изменение портов (мало что связано с безопасностью, за исключением минимизации распространенных сканеров портов и спама в журналах).

Следующим шагом будет решение PF firewall с отслеживанием соединения. Это решение будет управлять состояниями соединения и блокировать любой IP-адрес, имеющий слишком много соединений. Это прекрасно работает, и это очень легко сделать с PF, но демон SSH все еще работает в Интернете.

Как насчет сделать SSH полностью недоступным снаружи? Вот где приходит spiped . С домашней страницы:

Spiped (произносится как «ess-pipe-dee») - это утилита для создания симметрично зашифрованных и аутентифицированных каналов между адресами сокетов, так что можно подключиться к одному адресу (например, сокету UNIX на локальном хосте) и прозрачно установить соединение с другим адрес (например, сокет UNIX в другой системе). Это похоже на функциональность 'ssh -L', но не использует SSH и требует предварительного общего симметричного ключа.

Большой! К счастью для нас, он имеет высококачественный пакет OpenBSD, который выполняет всю подготовительную работу за нас, поэтому мы можем начать с его установки:

sudo pkg_add spiped

Это также устанавливает хороший сценарий инициализации для нас, поэтому мы можем продолжить и включить его:

sudo rcctl enable spiped

И, наконец, начать это:

sudo rcctl start spiped

Сценарий инициализации гарантирует, что ключ создан для нас (который нам понадобится на локальной машине чуть позже).

Теперь нам нужно отключить sshdпрослушивание публичного адреса, заблокировать порт 22 и разрешить порт 8022 (который по умолчанию используется в скрипте инициализации spiped).

Откройте /etc/ssh/sshd_configфайл и измените (и раскомментируйте) ListenAddressстроку для чтения 127.0.0.1:

ListenAddress 127.0.0.1

Если вы используете правила PF для блокировки портов, обязательно пропустите порт 8022 (и вы можете оставить порт 22 заблокированным), например:

pass in on egress proto tcp from any to any port 8022

Обязательно перезагрузите правила, чтобы сделать его активным:

sudo pfctl -f /etc/pf.conf

Теперь все, что нам нужно, это скопировать сгенерированный spiped key ( /etc/spiped/spiped.key) с сервера на локальный компьютер и настроить нашу конфигурацию SSH, примерно так:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Вы должны spipe/spipedустановить на локальном компьютере тоже, очевидно. Если вы скопировали ключ и скорректировали имена / пути, тогда вы сможете соединиться с этой ProxyCommandстрокой в ​​вашем ~/.ssh/configфайле.

После того, как вы подтвердите, что он работает, мы можем перезапустить sshdна сервере:

sudo rcctl restart sshd

Вот и все! Теперь вы полностью устранили один большой вектор атаки, и у вас меньше службы, прослушивающей общедоступный интерфейс. Теперь ваши SSH-соединения должны появиться из localhost, например:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Преимущество использования Vultr состоит в том, что каждый Vultr VPS предлагает хороший онлайн-клиент VNC-типа, который мы можем использовать в случае, если мы случайно заблокируем себя. Эксперимент прочь!