在OpenBSD上使用Spiped保护SSH访问

由于SSH访问是管理服务器的最重要入口点，因此它已成为广泛使用的攻击媒介。

保护SSH的基本步骤包括：禁用root用户访问权限，完全关闭密码身份验证（并改为使用密钥）以及更改端口（与安全性无关，除了最小化通用端口扫描程序和日志垃圾邮件）。

下一步将是具有连接跟踪功能的PF防火墙解决方案。该解决方案将管理连接状态，并阻止具有过多连接的任何IP。这很好用，并且很容易与PF一起使用，但是SSH守护程序仍然暴露于Internet。

如何使SSH完全无法从外部访问？这是spip出现的地方。来自主页：

Spiped（发音为“ ess-pipe-dee”）是一种实用程序，用于在套接字地址之间创建对称加密和经过身份验证的管道，以便一个可以连接到一个地址（例如，本地主机上的UNIX套接字），并透明地建立与另一个地址的连接地址（例如，其他系统上的UNIX套接字）。这类似于“ ssh -L”功能，但不使用SSH，并且需要预共享的对称密钥。

大！幸运的是，它具有高质量的OpenBSD软件包，可以为我们完成所有准备工作，因此我们可以从安装它开始：

sudo pkg_add spiped

这也为我们安装了一个不错的初始化脚本，因此我们可以继续启用它：

sudo rcctl enable spiped

最后启动它：

sudo rcctl start spiped

初始化脚本确保为我们创建了密钥（稍后我们将需要在本地计算机上使用该密钥）。

我们现在需要做的是禁用sshd侦听公共地址，阻止端口22并允许端口8022（默认情况下在spip初始化脚本中使用）。

打开/etc/ssh/sshd_config文件并更改（取消注释）该ListenAddress行以读取127.0.0.1：

ListenAddress 127.0.0.1

如果您使用PF规则进行端口阻塞，请确保通过端口8022（并且可以将端口22阻塞），例如：

pass in on egress proto tcp from any to any port 8022

确保重新加载规则以使其处于活动状态：

sudo pfctl -f /etc/pf.conf

现在，我们需要将生成的spiped key（/etc/spiped/spiped.key）从服务器复制到本地计算机，并调整我们的SSH配置，如下所示：

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spiped显然，您也需要安装在本地计算机上。如果您已复制密钥并调整了名称/路径，那么您应该能够ProxyCommand在~/.ssh/config文件中与该行连接。

确认其正常工作后，我们可以sshd在服务器上重新启动：

sudo rcctl restart sshd

就是这样！现在，您已经完全消除了一个大的攻击媒介，而在公共接口上侦听的服务却少了一个。现在，您的SSH连接似乎应该来自本地主机，例如：

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

使用Vultr的好处是，每个Vultr VPS都提供了一个不错的在线VNC类型的客户端，在意外锁定自己的情况下，我们可以使用该客户端。试试吧！