Bảo vệ quyền truy cập SSH bằng cách sử dụng Spiped trên OpenBSD

Vì quyền truy cập SSH là điểm vào quan trọng nhất để quản trị máy chủ của bạn, nó đã trở thành một vectơ tấn công được sử dụng rộng rãi.

Các bước cơ bản để bảo mật SSH bao gồm: vô hiệu hóa quyền truy cập root, tắt hoàn toàn xác thực mật khẩu (và sử dụng khóa thay thế) và thay đổi cổng (ít liên quan đến bảo mật ngoại trừ giảm thiểu trình quét cổng thông thường và spam nhật ký).

Bước tiếp theo sẽ là một giải pháp tường lửa PF với theo dõi kết nối. Giải pháp này sẽ quản lý trạng thái kết nối và chặn bất kỳ IP nào có quá nhiều kết nối. Điều này hoạt động rất tốt và rất dễ thực hiện với PF, nhưng trình nền SSH vẫn tiếp xúc với Internet.

Làm thế nào về việc làm cho SSH hoàn toàn không thể truy cập từ bên ngoài? Đây là nơi spiped đến. Từ trang chủ:

Spiped (phát âm là "ess-pipe-dee") là một tiện ích để tạo các đường ống được xác thực và mã hóa đối xứng giữa các địa chỉ ổ cắm, để người ta có thể kết nối với một địa chỉ (ví dụ, ổ cắm UNIX trên localhost) và trong suốt có kết nối được thiết lập với một địa chỉ khác địa chỉ (ví dụ, một ổ cắm UNIX trên một hệ thống khác). Điều này tương tự như chức năng 'ssh -L', nhưng không sử dụng SSH và yêu cầu khóa đối xứng được chia sẻ trước.

Tuyệt quá! May mắn cho chúng tôi, nó có gói OpenBSD chất lượng cao, thực hiện tất cả các công việc chuẩn bị cho chúng tôi, vì vậy chúng tôi có thể bắt đầu bằng cách cài đặt nó:

sudo pkg_add spiped

Điều này cũng cài đặt một tập lệnh init đẹp cho chúng tôi, vì vậy chúng tôi có thể tiếp tục và kích hoạt nó:

sudo rcctl enable spiped

Và cuối cùng bắt đầu nó:

sudo rcctl start spiped

Tập lệnh init đảm bảo rằng khóa được tạo cho chúng ta (mà chúng ta sẽ cần trên một máy cục bộ trong một lát).

Những gì chúng ta cần làm bây giờ, là vô hiệu hóa sshdviệc nghe trên địa chỉ công cộng, chặn cổng 22 và cho phép cổng 8022 (theo mặc định được sử dụng trong tập lệnh init spiped).

Mở /etc/ssh/sshd_configtệp và thay đổi (và bỏ ghi chú) ListenAddressdòng cần đọc 127.0.0.1:

ListenAddress 127.0.0.1

Nếu bạn đang sử dụng quy tắc PF để chặn cổng, hãy đảm bảo vượt qua cổng 8022 (và bạn có thể để cổng 22 bị chặn), ví dụ:

pass in on egress proto tcp from any to any port 8022

Hãy chắc chắn tải lại các quy tắc để làm cho nó hoạt động:

sudo pfctl -f /etc/pf.conf

Bây giờ, tất cả những gì chúng ta cần là sao chép khóa spiped được tạo ( /etc/spiped/spiped.key) từ máy chủ sang máy cục bộ và điều chỉnh cấu hình SSH của chúng tôi, một số dòng sau:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Bạn cũng cần phải spipe/spipedcài đặt trên một máy cục bộ. Nếu bạn đã sao chép khóa và điều chỉnh tên / đường dẫn, thì bạn sẽ có thể kết nối với ProxyCommanddòng đó trong ~/.ssh/configtệp của mình .

Sau khi bạn xác nhận rằng nó hoạt động, chúng tôi có thể khởi động lại sshdtrên máy chủ:

sudo rcctl restart sshd

Và đó là nó! Bây giờ bạn đã loại bỏ hoàn toàn một vectơ tấn công lớn và bạn có một dịch vụ ít nghe hơn trên giao diện công cộng. Các kết nối SSH của bạn bây giờ dường như đến từ localhost, ví dụ:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Một lợi ích khi sử dụng Vultr là mỗi VPS Vultr cung cấp một ứng dụng khách kiểu VNC trực tuyến có sẵn mà chúng tôi có thể sử dụng trong trường hợp chúng tôi vô tình tự khóa. Thử nghiệm đi!



Leave a Comment

ReactOS: Đây có phải là tương lai của Windows?

ReactOS: Đây có phải là tương lai của Windows?

ReactOS, một hệ điều hành mã nguồn mở và miễn phí đã có phiên bản mới nhất. Liệu nó có thể đáp ứng đủ nhu cầu của người dùng Windows hiện đại và hạ gục Microsoft? Hãy cùng tìm hiểu thêm về trải nghiệm hệ điều hành kiểu cũ nhưng mới hơn này.

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Các cuộc tấn công ransomware đang gia tăng, nhưng liệu AI có thể giúp đối phó với loại virus máy tính mới nhất? AI có phải là câu trả lời? Đọc ở đây biết là AI boone hay cấm

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Whatsapp cuối cùng đã ra mắt ứng dụng Máy tính để bàn cho người dùng Mac và Windows. Giờ đây, bạn có thể truy cập Whatsapp từ Windows hoặc Mac một cách dễ dàng. Có sẵn cho Windows 8+ và Mac OS 10.9+

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Hãy đọc phần này để biết Trí tuệ nhân tạo đang trở nên phổ biến như thế nào đối với các công ty quy mô nhỏ và làm thế nào nó đang tăng khả năng khiến họ phát triển và giúp đối thủ cạnh tranh của họ có thể cạnh tranh.

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Gần đây Apple đã phát hành macOS Catalina 10.15.4 một bản cập nhật bổ sung để khắc phục các sự cố nhưng có vẻ như bản cập nhật đang gây ra nhiều vấn đề hơn dẫn đến việc máy mac bị chai. Đọc bài viết này để tìm hiểu thêm

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Máy tính của chúng tôi lưu trữ tất cả dữ liệu một cách có tổ chức được gọi là hệ thống tệp Ghi nhật ký. Đây là một phương pháp hiệu quả cho phép máy tính tìm kiếm và hiển thị các tệp ngay khi bạn nhấn tìm kiếm. Https://wethegeek.com/? P = 94116 & preview = true

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Khi Khoa học phát triển với tốc độ nhanh chóng, chiếm rất nhiều nỗ lực của chúng ta, những rủi ro của việc phục tùng bản thân trước một Điểm kỳ dị không thể giải thích cũng tăng lên. Hãy đọc, điểm kỳ dị có thể có ý nghĩa gì đối với chúng ta.

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Tác động của trí tuệ nhân tạo trong chăm sóc sức khỏe 2021

Tác động của trí tuệ nhân tạo trong chăm sóc sức khỏe 2021

AI trong lĩnh vực chăm sóc sức khỏe đã có những bước tiến nhảy vọt so với những thập kỷ trước. Vì vậy, tương lai của AI trong Chăm sóc sức khỏe vẫn đang phát triển từng ngày.