Порт стучит в Debian

• Шаг 1: Установка необходимых пакетов
• Шаг 2. Настройка iptables для использования этой функции
• Шаг 3: Давайте попробуем это
• Заключение

К настоящему времени вы, вероятно, изменили свой порт SSH по умолчанию. Тем не менее, хакеры могут легко сканировать диапазоны портов, чтобы обнаружить этот порт, но с помощью стука портов вы можете обмануть сканеры портов. Это работает так, что ваш SSH-клиент пытается подключиться к последовательности портов, все из которых будут отклонять ваше соединение, но разблокировать указанный порт, который разрешает ваше соединение. Очень безопасный и простой в установке. Стук в порт - один из лучших способов защитить ваш сервер от несанкционированных попыток SSH-соединения.

Эта статья научит вас, как настроить стук портов. Он был написан для Debian 7 (Wheezy), но может также работать на других версиях Debian и Ubuntu.

Шаг 1: Установка необходимых пакетов

Я предполагаю, что вы уже установили сервер SSH. Если нет, выполните следующие команды от имени пользователя root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Затем установите iptables.

apt-get install iptables

Устанавливать не так много пакетов - это то, что делает его идеальным решением для защиты от попыток перебора, а также простотой установки.

Шаг 2. Настройка iptables для использования этой функции

Поскольку ваш порт SSH закроется после подключения, мы должны убедиться, что сервер позволяет вам оставаться подключенным, блокируя другие попытки подключения. Выполните эти команды на вашем сервере от имени пользователя root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Это позволит сохранить существующие подключения, но заблокировать все остальное для вашего порта SSH.

Теперь давайте настроим knockd.

Вот где происходит волшебство - вы сможете выбрать, какие порты нужно будет сначала постучать. Откройте текстовый редактор для файла /etc/knockd.conf.

nano /etc/knockd.conf

Там будет раздел, который выглядит как следующий блок.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

В этом разделе вы сможете изменить последовательность портов, которые должны быть выбиты. В настоящее время, мы останемся с портами 7000, 8000 и 9000. Изменение seq_timeout = 5к seq_timeout = 10, и для closeSSHраздела, сделать то же самое для seq_timeoutлинии. В closeSSHразделе также есть строка последовательности , которую нужно изменить.

Нам нужно включить knockd, поэтому снова откройте ваш редактор как root.

nano /etc/default/knockd

Измените 0 в разделе START_KNOCKDна 1, затем сохраните и выйдите.

Теперь начните knockd:

service knockd start

Большой! Все установлено. Если вы отключитесь от своего сервера, вам придется выбить порты 7000, 8000 и 9000, чтобы снова подключиться.

Шаг 3: Давайте попробуем это

Если все было установлено правильно, вы не сможете подключиться к вашему SSH-серверу.

Вы можете проверить стук портов с помощью клиента telnet.

Пользователи Windows могут запустить telnet из командной строки. Если telnet не установлен, перейдите в раздел «Программы» панели управления, а затем найдите «Включить или отключить функции Windows». На панели функций найдите «Клиент Telnet» и включите его.

В вашем терминале / командной строке введите:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Сделайте все это за десять секунд, так как это ограничение, установленное в конфигурации. Теперь попробуйте подключиться к вашему серверу через SSH. Это будет доступно.

Чтобы закрыть сервер SSH, выполните команды в обратном порядке.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Заключение

Лучшее в использовании стука портов - это то, что если он настроен параллельно с аутентификацией с помощью закрытого ключа, практически нет шансов, что кто-то еще сможет войти, если кто-то не знает порты и закрытый ключ.