Home » » 如何在Ubuntu 18.04上使用端口敲序列进一步保护SSH

如何在Ubuntu 18.04上使用端口敲序列进一步保护SSH

介绍

除了更改SSH的默认端口并使用密钥对进行身份验证之外,端口终止还可以用于进一步保护(或更准确地说,掩盖)您的SSH服务器。它通过拒绝与SSH网络端口的连接来工作。这实际上掩盖了您正在运行SSH服务器的事实,直到对预定义端口进行了一系列连接尝试为止。端口敲除非常安全且易于实施,是保护服务器免受恶意SSH连接尝试的最佳方法之一。

先决条件

  • 运行Ubuntu 18.04的Vultr服务器。
  • 须藤访问。

在执行以下步骤之前,如果您没有以root用户身份登录,请通过运行sudo -i并输入密码来获取临时root shell 。或者,您可以添加sudo本文中显示的命令。

步骤1:Knockd安装

Knockd是与iptables结合使用的软件包,用于在服务器上实现端口敲除。iptables-persistent还需要' '软件包。

apt update
apt install -y knockd iptables-persistent

步骤2:iptables规则

按顺序运行以下命令:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

这些命令将分别执行以下操作:

  • 指示iptables使现有连接保持活动状态。
  • 指示iptables断开与端口tcp / 22的任何连接(如果SSH守护进程正在侦听22以外的端口,则应相应地修改上述命令。)
  • 保存这两个规则,以便它们在重新启动后仍然存在。

步骤3:Knockd配置

使用您选择的文本编辑器,打开文件/etc/knockd.conf

您将看到以下内容:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

您应该更改端口顺序(选择上面的端口号,1024并选择其他服务未使用的端口号),并安全地存储它。此组合应被视为密码。如果忘记了,您将无法访问SSH。我们将把这个新序列称为x,y,z

seq-timeout行是Knockd等待客户端完成端口敲除序列的秒数。将其更改为更大的值是个好主意,尤其是如果端口敲接将手动完成。但是,较小的超时值更安全。15建议将其更改为,因为我们将在本教程中手动进行设置。

将打开顺序更改为您选择的端口:

[openSSH]
sequence    = x,y,z

将命令值更改为以下内容:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

现在相应地更改关闭顺序:

[closeSSH]
sequence    = z,y,x

保存更改并退出,然后打开文件/etc/default/knockd

  • 替换START_KNOCKD=0START_KNOCKD=1
  • 将以下行添加到文件的末尾:(如果不同,请用公共网络接口的名称KNOCKD_OPTS="-i ens3"替换ens3。)
  • 保存并退出。

现在启动Knockd:

systemctl start knockd

如果你现在从你的服务器断开,你将不得不敲港口xy以及z再次连接。

步骤4:测试

现在,您将无法连接到SSH服务器。

您可以使用telnet客户端测试端口爆震。

Windows用户可以从命令提示符启动telnet。如果未安装telnet,请访问“控制面板”的“程序”部分,然后找到“打开或关闭Windows功能”。在功能面板上,找到“ Telnet客户端”并启用它。

在终端/命令提示符下,键入以下内容:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

在15秒内完成所有操作,因为这是配置中施加的限制。现在,尝试通过SSH连接到服务器。它将可访问。

要关闭对SSH服务器的访问,请以相反的顺序运行命令。

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

结论

使用端口敲门最好的部分是,如果将它与私钥身份验证一起配置,除非有人知道您的端口敲门序列并拥有您的私钥,否则几乎没有其他人可以进入。


Tags: #Linux Guides #Security #System Admin #Ubuntu

Leave a Comment

如何在CentOS 7上安装Oxwall

如何在CentOS 7上安装Oxwall

Oxwall是一个开源社交网络软件平台,可用于免费构建自定义社交网站(SNS)。在这篇文章中,

如何在Ubuntu 16.10上安装Review Board

如何在Ubuntu 16.10上安装Review Board

使用其他系统?Review Board是一个免费且开源的工具,用于检查源代码,文档,图像等。这是基于网络的软件战

如何在Debian 9 LAMP VPS上安装October 1.0 CMS

如何在Debian 9 LAMP VPS上安装October 1.0 CMS

使用其他系统?October 1.0 CMS是基于Laravel框架构建的简单,可靠,免费和开源的内容管理系统(CMS)

如何使用Ubuntu 15.10在Vultr服务器上安装Xubuntu桌面

如何使用Ubuntu 15.10在Vultr服务器上安装Xubuntu桌面

Xubuntu是XFCE + Ubuntu!XFCE是Ubuntu的轻量级GUI /桌面。Vultr服务器需要其他依赖项,默认情况下未安装这些依赖项。

如何在Debian 9上安装Monica

如何在Debian 9上安装Monica

使用其他系统?Monica是一个开源的个人关系管理系统。可以将其视为CRM(销售团队使用的一种流行工具

如何使用SSL和安全密码保护由Nginx驱动的网站

如何使用SSL和安全密码保护由Nginx驱动的网站

简介SSL(代表安全套接字层)及其后续版本TLS(代表传输层安全性)是需要加密的加密协议。

如何在Fedora 26 LAMP VPS上安装MODX Revolution

如何在Fedora 26 LAMP VPS上安装MODX Revolution

使用其他系统?MODX Revolution是一种快速,灵活,可扩展,免费和开源的企业级内容管理系统(CMS),由

如何在Ubuntu 17.04上安装JuliaLang

如何在Ubuntu 17.04上安装JuliaLang

朱莉娅(Julia)通常称为JuliaLang,是一种用于数值计算的编程语言。Julia的速度和C一样快,但是却不牺牲可读性

在Ubuntu 14.04上安装Ruby on Rails

在Ubuntu 14.04上安装Ruby on Rails

Ruby on Rails(RoR)是用Ruby编程语言编写的框架,可让您将Ruby与HTML,CSS和类似的程序结合使用。

在Fedora 28上安装Anchor CMS

在Fedora 28上安装Anchor CMS

使用其他系统?Anchor是用PHP编写的轻量级开源博客CMS。Anchors源代码托管在GitHub上。本指南将向您展示

将Debian 9升级到Debian 10

将Debian 9升级到Debian 10

简介Debian 10(Buster)是Debian 9(Stretch)的后继产品。它于2019年7月6日发布。在本教程中,我们将升级一个existin

如何管理Linux服务器时区设置

如何管理Linux服务器时区设置

在Linux服务器上正确设置日期和时间非常重要。您的服务器日志和其他重要信息都将反映时区

如何在Ubuntu 16.04上安装Taiga项目管理工具

如何在Ubuntu 16.04上安装Taiga项目管理工具

使用其他系统?Taiga是用于项目管理的免费和开源应用程序。与其他项目管理工具不同,Taiga使用增量

在Ubuntu上配置Nagios:第1部分-Nagios服务器

在Ubuntu上配置Nagios:第1部分-Nagios服务器

本文是有关在Ubuntu 14.04上安装和配置Nagios的2部分系列文章的一部分。第1部分:Nagios服务器第2部分:远程主机概述Nagio

如何访问Vultr VPS

如何访问Vultr VPS

Vultr提供了几种不同的方式来访问VPS以进行配置,安装和使用。访问凭据VPS ar的默认访问凭据

如何在Debian 9上安装Grav CMS

如何在Debian 9上安装Grav CMS

使用其他系统?Grav是用PHP编写的开源平面文件CMS。Grav源代码公开托管在GitHub上。本指南将向您展示如何

如何在Fedora 26 LAMP VPS上安装Pagekit 1.0 CMS

如何在Fedora 26 LAMP VPS上安装Pagekit 1.0 CMS

使用其他系统?Pagekit 1.0 CMS是一个美观,模块化,可扩展,轻量级,免费和开源的内容管理系统(CMS),具有

如何在Ubuntu 16.04 LAMP VPS上安装BigTree CMS

如何在Ubuntu 16.04 LAMP VPS上安装BigTree CMS

使用其他系统?BigTree CMS 4.2是一种快速,轻量级,免费和开源的企业级内容管理系统(CMS),具有广泛的功能。

如何在CentOS 7上设置vsFTPd

如何在CentOS 7上设置vsFTPd

FTP是用于通过Internet传输文件的有用协议,本指南将向您展示如何设置vsFTPd(非常安全的文件传输协议守护程序)o

在Debian / Ubuntu中使用Rsync设置文件镜像

在Debian / Ubuntu中使用Rsync设置文件镜像

简介如果您经营一个重要的网站,则最好将文件镜像到辅助服务器。如果您的主服务器有网络

在Arch Linux上使用Makepkg

在Arch Linux上使用Makepkg

在Arch Linux上使用Makepkg可以避免系统污染,确保仅安装必要的依赖关系。

如何在Ubuntu 16.04上安装OpenSIPS控制面板

如何在Ubuntu 16.04上安装OpenSIPS控制面板

快速学习如何在Ubuntu 16.04上安装OpenSIPS控制面板,为VoIP提供商提供支持的功能。

在Fedora 28上安装Akaunting

在Fedora 28上安装Akaunting

学习如何在Fedora 28上安装Akaunting,一款适合小型企业和自由职业者的开源会计软件。

如何在CentOS 7上安装Mailtrain新闻通讯应用程序

如何在CentOS 7上安装Mailtrain新闻通讯应用程序

使用其他系统?Mailtrain是一个基于Node.js和MySQL / MariaDB构建的开源自托管新闻通讯应用程序。

诊断Minecraft服务器延迟和低TPS

诊断Minecraft服务器延迟和低TPS

了解導致Minecraft延遲的原因和解決方案,包括優化伺服器性能和減少滯後的步驟。

AI 能否應對越來越多的勒索軟件攻擊?

AI 能否應對越來越多的勒索軟件攻擊?

勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根

ReactOS:這是 Windows 的未來嗎?

ReactOS:這是 Windows 的未來嗎?

ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+

人工智能如何將流程自動化提升到新的水平?

人工智能如何將流程自動化提升到新的水平?

閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。

macOS Catalina 10.15.4 補充更新引發的問題多於解決

macOS Catalina 10.15.4 補充更新引發的問題多於解決

最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息