在OpenBSD上使用Spiped保护SSH访问

由于SSH访问是管理服务器的最重要入口点,因此它已成为广泛使用的攻击媒介。

保护SSH的基本步骤包括:禁用root用户访问权限,完全关闭密码身份验证(并改为使用密钥)以及更改端口(与安全性无关,除了最小化通用端口扫描程序和日志垃圾邮件)。

下一步将是具有连接跟踪功能的PF防火墙解决方案。该解决方案将管理连接状态,并阻止具有过多连接的任何IP。这很好用,并且很容易与PF一起使用,但是SSH守护程序仍然暴露于Internet。

如何使SSH完全无法从外部访问?这是spip出现的地方。来自主页:

Spiped(发音为“ ess-pipe-dee”)是一种实用程序,用于在套接字地址之间创建对称加密和经过身份验证的管道,以便一个可以连接到一个地址(例如,本地主机上的UNIX套接字),并透明地建立与另一个地址的连接地址(例如,其他系统上的UNIX套接字)。这类似于“ ssh -L”功能,但不使用SSH,并且需要预共享的对称密钥。

大!幸运的是,它具有高质量的OpenBSD软件包,可以为我们完成所有准备工作,因此我们可以从安装它开始:

sudo pkg_add spiped

这也为我们安装了一个不错的初始化脚本,因此我们可以继续启用它:

sudo rcctl enable spiped

最后启动它:

sudo rcctl start spiped

初始化脚本确保为我们创建了密钥(稍后我们将需要在本地计算机上使用该密钥)。

我们现在需要做的是禁用sshd侦听公共地址,阻止端口22并允许端口8022(默认情况下在spip初始化脚本中使用)。

打开/etc/ssh/sshd_config文件并更改(取消注释)该ListenAddress行以读取127.0.0.1

ListenAddress 127.0.0.1

如果您使用PF规则进行端口阻塞,请确保通过端口8022(并且可以将端口22阻塞),例如:

pass in on egress proto tcp from any to any port 8022

确保重新加载规则以使其处于活动状态:

sudo pfctl -f /etc/pf.conf

现在,我们需要生成的spiped key(/etc/spiped/spiped.key)从服务器复制到本地计算机,并调整我们的SSH配置,如下所示:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spiped显然,您也需要安装在本地计算机上。如果您已复制密钥并调整了名称/路径,那么您应该能够ProxyCommand~/.ssh/config文件中与该行连接。

确认其正常工作后,我们可以sshd在服务器上重新启动:

sudo rcctl restart sshd

就是这样!现在,您已经完全消除了一个大的攻击媒介,而在公共接口上侦听的服务却少了一个。现在,您的SSH连接似乎应该来自本地主机,例如:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

使用Vultr的好处是,每个Vultr VPS都提供了一个不错的在线VNC类型的客户端,在意外锁定自己的情况下,我们可以使用该客户端。试试吧!



Leave a Comment

AI 能否應對越來越多的勒索軟件攻擊?

AI 能否應對越來越多的勒索軟件攻擊?

勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根

ReactOS:這是 Windows 的未來嗎?

ReactOS:這是 Windows 的未來嗎?

ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+

人工智能如何將流程自動化提升到新的水平?

人工智能如何將流程自動化提升到新的水平?

閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。

macOS Catalina 10.15.4 補充更新引發的問題多於解決

macOS Catalina 10.15.4 補充更新引發的問題多於解決

最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息

大數據的13個商業數據提取工具

大數據的13個商業數據提取工具

大數據的13個商業數據提取工具

什麼是日誌文件系統,它是如何工作的?

什麼是日誌文件系統,它是如何工作的?

我們的計算機以稱為日誌文件系統的有組織的方式存儲所有數據。這是一種有效的方法,可以讓計算機在您點擊搜索時立即搜索和顯示文件。 https://wethegeek.com/?p=94116&preview=true

技術奇點:人類文明的遙遠未來?

技術奇點:人類文明的遙遠未來?

隨著科學的快速發展,接管了我們的大量工作,我們陷入無法解釋的奇點的風險也在增加。閱讀,奇點對我們意味著什麼。

洞察 26 種大數據分析技術:第 1 部分

洞察 26 種大數據分析技術:第 1 部分

洞察 26 種大數據分析技術:第 1 部分

2021 年人工智能對醫療保健的影響

2021 年人工智能對醫療保健的影響

過去幾十年,醫療保健領域的人工智能取得了巨大飛躍。因此,醫療保健中人工智能的未來仍在日益增長。