Поскольку доступ по SSH является наиболее важной точкой входа для администрирования вашего сервера, он стал широко используемым вектором атак.
Основные шаги по обеспечению безопасности SSH включают в себя: отключение корневого доступа, полное отключение аутентификации по паролю (и использование ключей вместо) и изменение портов (мало что связано с безопасностью, за исключением минимизации распространенных сканеров портов и спама в журналах).
Следующим шагом будет решение PF firewall с отслеживанием соединения. Это решение будет управлять состояниями соединения и блокировать любой IP-адрес, имеющий слишком много соединений. Это прекрасно работает, и это очень легко сделать с PF, но демон SSH все еще работает в Интернете.
Как насчет сделать SSH полностью недоступным снаружи? Вот где приходит spiped . С домашней страницы:
Spiped (произносится как «ess-pipe-dee») - это утилита для создания симметрично зашифрованных и аутентифицированных каналов между адресами сокетов, так что можно подключиться к одному адресу (например, сокету UNIX на локальном хосте) и прозрачно установить соединение с другим адрес (например, сокет UNIX в другой системе). Это похоже на функциональность 'ssh -L', но не использует SSH и требует предварительного общего симметричного ключа.
Большой! К счастью для нас, он имеет высококачественный пакет OpenBSD, который выполняет всю подготовительную работу за нас, поэтому мы можем начать с его установки:
sudo pkg_add spiped
Это также устанавливает хороший сценарий инициализации для нас, поэтому мы можем продолжить и включить его:
sudo rcctl enable spiped
И, наконец, начать это:
sudo rcctl start spiped
Сценарий инициализации гарантирует, что ключ создан для нас (который нам понадобится на локальной машине чуть позже).
Теперь нам нужно отключить sshdпрослушивание публичного адреса, заблокировать порт 22 и разрешить порт 8022 (который по умолчанию используется в скрипте инициализации spiped).
Откройте /etc/ssh/sshd_configфайл и измените (и раскомментируйте) ListenAddressстроку для чтения 127.0.0.1:
ListenAddress 127.0.0.1
Если вы используете правила PF для блокировки портов, обязательно пропустите порт 8022 (и вы можете оставить порт 22 заблокированным), например:
pass in on egress proto tcp from any to any port 8022
Обязательно перезагрузите правила, чтобы сделать его активным:
sudo pfctl -f /etc/pf.conf
Теперь все, что нам нужно, это скопировать сгенерированный spiped key ( /etc/spiped/spiped.key) с сервера на локальный компьютер и настроить нашу конфигурацию SSH, примерно так:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Вы должны spipe/spipedустановить на локальном компьютере тоже, очевидно. Если вы скопировали ключ и скорректировали имена / пути, тогда вы сможете соединиться с этой ProxyCommandстрокой в вашем ~/.ssh/configфайле.
После того, как вы подтвердите, что он работает, мы можем перезапустить sshdна сервере:
sudo rcctl restart sshd
Вот и все! Теперь вы полностью устранили один большой вектор атаки, и у вас меньше службы, прослушивающей общедоступный интерфейс. Теперь ваши SSH-соединения должны появиться из localhost, например:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Преимущество использования Vultr состоит в том, что каждый Vultr VPS предлагает хороший онлайн-клиент VNC-типа, который мы можем использовать в случае, если мы случайно заблокируем себя. Эксперимент прочь!
Используете другую систему? TextPattern CMS 4.6.2 - это простая, гибкая, бесплатная система управления контентом (CMS) с открытым исходным кодом, которая позволяет веб-дизайнерам
Используете другую систему? NodeBB - это программное обеспечение для форумов на базе Node.js. Он использует веб-сокеты для мгновенного взаимодействия и уведомления в режиме реального времени. УзелБ
Используете другую систему? Monica - это система управления личными отношениями с открытым исходным кодом. Думайте об этом как о CRM (популярный инструмент, используемый командами
Используете другую систему? Reader Self 3.5 - это простая и гибкая, бесплатная программа для чтения RSS с открытым исходным кодом и альтернатива Google Reader. Читатель Sel
Используете другую систему? X-Cart - чрезвычайно гибкая платформа электронной коммерции с открытым исходным кодом, обладающая множеством функций и интеграций. Исходный код X-Cart доступен
Введение WordPress является доминирующей системой управления контентом в Интернете. Он поддерживает все, от блогов до сложных сайтов с динамическим контентом
Используете другую систему? MODX Revolution - это быстрая, гибкая, масштабируемая система управления контентом (CMS) корпоративного уровня с открытым исходным кодом, написанная на PHP. Это я
Введение Это руководство демонстрирует OpenBSD как решение для электронной коммерции, использующее PrestaShop и Apache. Требуется Apache, потому что PrestaShop имеет сложный UR
Используете другую систему? WonderCMS - это быстрая и небольшая плоская файловая CMS с открытым исходным кодом, написанная на PHP. Исходный код WonderCMS размещен на Github. Это руководство будет
Используете другую систему? TLS 1.3 - это версия протокола безопасности транспортного уровня (TLS), который был опубликован в 2018 году в качестве предлагаемого стандарта в RFC 8446.
Стек FEMP, который сопоставим со стеком LEMP в Linux, представляет собой набор программного обеспечения с открытым исходным кодом, который обычно устанавливается вместе для включения FreeBS.
Используете другую систему? Dolibarr - это общедоступное планирование ресурсов предприятия (ERP) и управление взаимоотношениями с клиентами (CRM) для предприятий. Dolibarr
Используете другую систему? Paste 2.1 - это простое и гибкое бесплатное приложение с открытым исходным кодом для хранения кода, текста и многого другого. Это было изначально
Используете другую систему? BigTree CMS 4.2 - это быстрая и легкая бесплатная система управления контентом (CMS) корпоративного уровня с открытым исходным кодом и широким
В готовом виде серверы Vultr FreeBSD не настроены на использование пространства подкачки. Если вы хотите использовать одноразовый облачный экземпляр, вы, вероятно, не
Используете другую систему? BlogoText CMS - это простая и легкая бесплатная система управления контентом (CMS) с открытым исходным кодом и минималистским блог-движком.
В этой статье я покажу вам, как установить MariaDB на OpenBSD 6 и настроить его так, чтобы он был доступен для веб-сервера с поддержкой chroot (Apache или Nginx). Вы будете также
Используете другую систему? Subrion 4.1 CMS - это мощная и гибкая система управления контентом с открытым исходным кодом (CMS), которая обеспечивает интуитивно понятный и понятный контент.
Используете другую систему? TaskWarrior - это инструмент управления временем с открытым исходным кодом, который является улучшением приложения Todo.txt и его клонов. Из-за
Используете другую систему? DokuWiki - это вики-программа с открытым исходным кодом, написанная на PHP, для которой не требуется база данных. Хранит данные в текстовых файлах. DokuWik
Изучение 26 методов анализа больших данных: часть 1
Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.
Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.
Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.
Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.
CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?
По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.
Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!
Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.
Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше
