OpenBSDde Spiped Kullanarak SSH Erişimini Koruyun

SSH erişimi sunucunuzu yönetmek için en önemli giriş noktası olduğundan, yaygın olarak kullanılan bir saldırı vektörü haline gelmiştir.

SSH'yi güvence altına almak için temel adımlar şunlardır: root erişimini devre dışı bırakmak, şifre kimlik doğrulamasını tamamen kapatmak (ve bunun yerine tuşları kullanmak) ve bağlantı noktalarını değiştirmek (ortak bağlantı noktası tarayıcılarını ve günlük spam'lerini en aza indirgemek dışında güvenlikle ilgisi yoktur).

Bir sonraki adım, bağlantı izlemeye sahip bir PF güvenlik duvarı çözümü olacaktır. Bu çözüm bağlantı durumlarını yönetir ve çok fazla bağlantısı olan IP'leri engeller. Bu harika çalışıyor ve PF ile yapmak çok kolay, ancak SSH arka plan programı hala internete maruz kalıyor.

SSH'yi dışarıdan tamamen erişilemez hale getirmeye ne dersiniz? Spiped burada devreye giriyor. Ana sayfadan:

Spiped (telaffuz edilen "ess-pipe-dee") soket adresleri arasında simetrik olarak şifrelenmiş ve kimliği doğrulanmış borular oluşturmak için bir yardımcı programdır, böylece biri bir adrese bağlanabilir (ör. Localhost'ta bir UNIX soketi) ve şeffaf bir şekilde başka bir adrese kurulmuş bir bağlantı olabilir (örneğin, farklı bir sistemdeki UNIX soketi). Bu, 'ssh -L' işlevine benzer, ancak SSH kullanmaz ve önceden paylaşılan bir simetrik anahtar gerektirir.

Harika! Neyse ki bizim için, bizim için tüm hazırlık işlerini yapan yüksek kaliteli bir OpenBSD paketine sahiptir, böylece kurarak başlayabiliriz:

sudo pkg_add spiped

Bu ayrıca bizim için güzel bir başlangıç ​​komut dosyası yükler, böylece devam edebilir ve etkinleştirebiliriz:

sudo rcctl enable spiped

Ve son olarak başlayın:

sudo rcctl start spiped

İnit betiği, anahtarın bizim için yaratılmasını sağlar (biraz yerel bir makinede ihtiyacımız olacak).

Şimdi yapmamız gereken sshd, genel adresi dinlemeyi devre dışı bırakmak , 22 numaralı bağlantı noktasını engellemek ve 8022 numaralı bağlantı noktasına izin vermek (varsayılan olarak spiped init betiğinde kullanılır).

/etc/ssh/sshd_configDosyayı açın ve ListenAddressokunacak satırı değiştirin (ve uncomment) 127.0.0.1:

ListenAddress 127.0.0.1

Bağlantı noktası engelleme için PF kuralları kullanıyorsanız, 8022 numaralı bağlantı noktasını geçtiğinizden emin olun (ve 22 numaralı bağlantı noktasını kapalı bırakabilirsiniz), örneğin:

pass in on egress proto tcp from any to any port 8022

Etkinleştirmek için kuralları yeniden yüklediğinizden emin olun:

sudo pfctl -f /etc/pf.conf

Şimdi tek ihtiyacımız olan oluşturulan spiped anahtarı ( ) sunucudan yerel bir makineye kopyalamak ve /etc/spiped/spiped.keySSH yapılandırmamızı, aşağıdaki satırlar boyunca ayarlamaktır:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedYerel bir makineye de kurmuş olmanız gerekir . Anahtarı kopyaladıysanız ve adları / yolları ayarladıysanız, dosyanızdaki bu ProxyCommandsatıra bağlanabilmeniz gerekir ~/.ssh/config.

Çalıştığını onayladıktan sonra sshd, bir sunucuda yeniden başlatabiliriz :

sudo rcctl restart sshd

Ve bu kadar! Artık büyük bir saldırı vektörünü tamamen ortadan kaldırdınız ve herkese açık bir arayüzde dinleme yapan daha az bir hizmetiniz var. SSH bağlantılarınızın artık localhost'tan gelmiş gibi görünmesi gerekir, örneğin:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultr kullanmanın bir yararı, her Vultr VPS'nin kendimizi yanlışlıkla kilitlememiz durumunda kullanabileceğimiz güzel bir çevrimiçi VNC tipi istemci sunmasıdır. Uzaklaşın!