Ubuntu 18.04te Bağlantı Noktası Vurma Dizisi ile SSHyi Daha Güvenli Hale Getirme

• Giriş
• Ön şartlar
• Adım 1: Takma kurulum
• 2.Adım: Iptables kuralları
• 3. Adım: Takılma yapılandırması
• 4. Adım: Test etme
• Sonuç

Giriş

SSH için varsayılan bağlantı noktasını değiştirmenin ve kimlik doğrulama için bir anahtar çifti kullanmanın yanı sıra, SSH sunucunuzu daha da güvenli hale getirmek (veya daha doğru bir şekilde gizlemek) için bağlantı noktası vuruşu kullanılabilir. SSH ağ bağlantı noktasına olan bağlantıları reddederek çalışır. Bu, temel olarak, önceden tanımlanmış bağlantı noktalarına bir dizi bağlantı denemesi yapılıncaya kadar bir SSH sunucusu çalıştırdığınız gerçeğini gizler. Uygulaması çok güvenli ve basittir, bağlantı noktası vurma, sunucunuzu kötü niyetli SSH bağlantı girişimlerine karşı korumanın en iyi yollarından biridir.

Ön şartlar

• Ubuntu 18.04 çalıştıran bir Vultr sunucusu.
• Sudo erişimi.

Aşağıdaki adımları izlemeden önce, kök kullanıcı olarak oturum açmadıysanız, lütfen sudo -işifrenizi çalıştırarak ve girerek geçici bir kök kabuk edinin . Alternatif olarak, sudobu makalede gösterilen komutların başına gelebilirsiniz .

Adım 1: Takma kurulum

Knockd, sunucunuza port vuruşu uygulamak için iptables ile birlikte kullanılan pakettir. ' iptables-persistent' Paketi de gereklidir.

apt update
apt install -y knockd iptables-persistent

2.Adım: Iptables kuralları

Aşağıdaki komutları sırayla çalıştırın:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Bu komutlar sırasıyla aşağıdakileri yapar:

• Iptables'a mevcut bağlantıları canlı tutmasını söyleyin.
• İptables'ye tcp / 22 bağlantı noktasına herhangi bir bağlantıyı bırakmasını söyleyin (SSH arka plan programınız 22 dışında bir bağlantı noktasını dinliyorsa, yukarıdaki komutu buna göre değiştirmeniz gerekir.)
• Bu iki kuralı yeniden başlattıktan sonra da devam edecek şekilde kaydedin.

3. Adım: Takılma yapılandırması

İstediğiniz bir metin düzenleyiciyi kullanarak dosyayı açın /etc/knockd.conf.

Aşağıdakileri göreceksiniz:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Bağlantı noktalarının sırasını değiştirmelisiniz (yukarıda 1024ve diğer hizmetler tarafından kullanılmayan bağlantı noktası numaralarını seçmeli ) ve güvenli bir şekilde saklamalısınız. Bu kombinasyon bir şifre gibi ele alınmalıdır. Unutulursa, SSH'ye erişiminizi kaybedersiniz. Bu yeni diziye olarak değineceğiz x,y,z.

seq-timeouthat bağlantı-vurma dizisini tamamlamak için müşteri için bekler Knockd saniye sayısıdır. Özellikle port vuruşu manuel olarak yapılacaksa, bunu daha büyük bir şeye değiştirmek iyi bir fikir olacaktır. Ancak, daha küçük bir zaman aşımı değeri daha güvenlidir. 15Bu eğiticide manuel olarak elimize geçeceğimiz için bunu değiştirmeniz önerilir.

Açılış sırasını seçtiğiniz bağlantı noktalarıyla değiştirin:

[openSSH]
sequence    = x,y,z

Komut değerini aşağıdaki gibi değiştirin:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Şimdi kapatma sırasını uygun şekilde değiştirin:

[closeSSH]
sequence    = z,y,x

Değişikliklerinizi kaydedin ve çıkın ve dosyayı açın /etc/default/knockd:

• Değiştir START_KNOCKD=0ile START_KNOCKD=1.
• Dosyanın sonuna aşağıdaki satırı ekleyin: KNOCKD_OPTS="-i ens3"( ens3farklıysa genel ağ arayüzünüzün adıyla değiştirin .)
• Kaydet ve çık.

Şimdi Knockd'u başlatın:

systemctl start knockd

Artık sunucudan bağlantıyı keserseniz, bağlantı noktalarında vurmak gerekecek x, yve ztekrar bağlamak için.

4. Adım: Test etme

Artık SSH sunucunuza bağlanamayacaksınız.

Bir telnet istemcisi ile bağlantı noktası vuruntusunu test edebilirsiniz.

Windows kullanıcıları telnet'i komut isteminden başlatabilir. Telnet yüklü değilse, Denetim Masası'nın "Programlar" bölümüne erişin ve sonra "Windows özelliklerini aç veya kapat" seçeneğini bulun. Özellikler panelinde "Telnet İstemcisi" ni bulun ve etkinleştirin.

Terminal / komut isteminize aşağıdakileri yazın:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Bunları on beş saniye içinde yapın, çünkü yapılandırmada uygulanan sınır budur. Şimdi sunucunuza SSH üzerinden bağlanmayı deneyin. Erişilebilir olacak.

SSH sunucusuna erişimi kapatmak için komutları ters sırayla çalıştırın.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Sonuç

Bağlantı noktası çalma işlevini kullanmanın en iyi yanı, özel anahtar kimlik doğrulamasıyla birlikte yapılandırılmışsa, birisi bağlantı noktası çalma sırasınızı bilmedikçe ve özel anahtarınız yoksa başka birinin girme şansının neredeyse olmamasıdır.