Mbroni aksesin SSH duke përdorur Spiped On OpenBSD

Mbroni aksesin SSH duke përdorur Spiped On OpenBSD

Meqenëse qasja SSH është pika më e rëndësishme hyrëse për administrimin e serverit tuaj, ai është bërë një vektor sulmi i përdorur gjerësisht.

Hapat bazë për të siguruar SSH përfshijnë: çaktivizimin e aksesit në rrënjë, çaktivizimin fare të vërtetimit të fjalëkalimit (dhe përdorimin e çelësave në vend të tyre) dhe ndryshimin e porteve (pak që ka të bëjë me sigurinë përveç minimizimit të skanerëve të zakonshëm të porteve dhe log spam).

Hapi tjetër do të ishte një zgjidhje e murit të zjarrit PF me gjurmimin e lidhjes. Kjo zgjidhje do të menaxhonte gjendjet e lidhjes dhe do të bllokonte çdo IP që ka shumë lidhje. Kjo funksionon shkëlqyeshëm dhe është shumë e lehtë për t'u bërë me PF, por demon SSH është ende i ekspozuar ndaj Internetit.

Si ta bëni SSH plotësisht të paarritshëm nga jashtë? Këtu hyn spiped . Nga faqja kryesore:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

E madhe! Për fat të mirë për ne, ajo ka një paketë OpenBSD me cilësi të lartë e cila bën të gjithë punën përgatitore për ne, kështu që ne mund të fillojmë duke e instaluar:

sudo pkg_add spiped

Kjo gjithashtu instalon një skript të bukur init për ne, kështu që ne mund të vazhdojmë dhe ta aktivizojmë atë:

sudo rcctl enable spiped

Dhe në fund filloni:

sudo rcctl start spiped

Skripti init siguron që çelësi të jetë krijuar për ne (i cili do të na nevojitet në një makinë lokale brenda pak).

Ajo që duhet të bëjmë tani, është të çaktivizojmë sshddëgjimin në adresën publike, të bllokojmë portin 22 dhe të lejojmë portin 8022 (i cili përdoret si parazgjedhje në skriptin init të spiped).

Hapni /etc/ssh/sshd_configskedarin dhe ndryshoni (dhe hiqni komentin) ListenAddressrreshtin për të lexuar 127.0.0.1:

ListenAddress 127.0.0.1

Nëse jeni duke përdorur rregullat PF për bllokimin e portit, sigurohuni që të kaloni portin 8022 (dhe mund ta lini portin 22 të bllokuar), p.sh.

pass in on egress proto tcp from any to any port 8022

Sigurohuni që të ringarkoni rregullat për ta bërë atë aktiv:

sudo pfctl -f /etc/pf.conf

Tani të gjithë ne kemi nevojë është që të kopjoni kyçe të gjeneruara spiped ( /etc/spiped/spiped.key) nga serveri në një makinë lokal dhe të rregulluar konfigurimin tonë SSH, diçka përgjatë linjave të mëposhtme:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Duhet të kesh spipe/spipedinstaluar edhe në një makinë lokale, natyrisht. Nëse e keni kopjuar çelësin dhe keni rregulluar emrat/shtigjet, atëherë duhet të jeni në gjendje të lidheni me atë ProxyCommandlinjë në ~/.ssh/configskedarin tuaj .

Pasi të keni konfirmuar se po funksionon, ne mund të rifillojmë sshdnë një server:

sudo rcctl restart sshd

Dhe kjo eshte! Tani ju keni eliminuar plotësisht një vektor të madh sulmi dhe keni një shërbim më pak që dëgjon në një ndërfaqe publike. Lidhjet tuaja SSH tani duhet të duket se kanë ardhur nga localhost, për shembull:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Një përfitim nga përdorimi i Vultr është se çdo Vultr VPS ofron një klient të mirë në internet të tipit VNC të disponueshëm, të cilin mund ta përdorim në rast se mbyllemi aksidentalisht. Eksperimentoni larg!


Si të instaloni Tiny Tiny RSS Reader në një FreeBSD 11 FAMP VPS

Si të instaloni Tiny Tiny RSS Reader në një FreeBSD 11 FAMP VPS

Përdorimi i një sistemi të ndryshëm? Tiny Tiny RSS Reader është një lexues dhe grumbullues i lajmeve të bazuara në ueb (RSS/Atom), falas dhe me burim të hapur, i krijuar për të dhënë

Si të instaloni Wiki.js në FreeBSD 11

Si të instaloni Wiki.js në FreeBSD 11

Përdorimi i një sistemi të ndryshëm? Wiki.js është një aplikacion modern wiki falas dhe me burim të hapur i ndërtuar në Node.js, MongoDB, Git dhe Markdown. Kodi burimor i Wiki.js është publik

Si të instaloni Pagekit 1.0 CMS në një FreeBSD 11 FAMP VPS

Si të instaloni Pagekit 1.0 CMS në një FreeBSD 11 FAMP VPS

Përdorimi i një sistemi të ndryshëm? Pagekit 1.0 CMS është një Sistem i Menaxhimit të Përmbajtjes (CMS) i bukur, modular, i zgjatshëm dhe i lehtë, pa pagesë dhe me burim të hapur me

Si të instaloni MODX Revolution në një FreeBSD 11 FAMP VPS

Si të instaloni MODX Revolution në një FreeBSD 11 FAMP VPS

Përdorimi i një sistemi të ndryshëm? MODX Revolution është një Sistem i Menaxhimit të Përmbajtjes (CMS) i shpejtë, fleksibël, i shkallëzuar, me burim të hapur, i shkallës së ndërmarrjes, i shkruar në PHP. Ajo i

Konfiguro OpenBSD 5.5 64-bit

Konfiguro OpenBSD 5.5 64-bit

Ky artikull ju udhëzon në konfigurimin e OpenBSD 5.5 (64-bit) në KVM me një Vultr VPS. Hapi 1. Hyni në panelin e kontrollit Vultr. Hapi 2. Klikoni DEPLOY

Si të instaloni osTicket në FreeBSD 12

Si të instaloni osTicket në FreeBSD 12

Përdorimi i një sistemi të ndryshëm? osTicket është një sistem biletash për mbështetjen e klientit me burim të hapur. Kodi burimor i osTicket është i pritur publikisht në Github. Në këtë tutorial

Si të instaloni Flarum Forum në FreeBSD 12

Si të instaloni Flarum Forum në FreeBSD 12

Përdorimi i një sistemi të ndryshëm? Flarum është një softuer forumi i gjeneratës së ardhshme pa pagesë dhe me burim të hapur që e bën diskutimin në internet argëtues. Kodi burimor i Flarum është pritur o

Si të aktivizoni TLS 1.3 në Nginx në FreeBSD 12

Si të aktivizoni TLS 1.3 në Nginx në FreeBSD 12

Përdorimi i një sistemi të ndryshëm? TLS 1.3 është një version i protokollit të Sigurisë së Shtresës së Transportit (TLS) që u publikua në 2018 si një standard i propozuar në RFC 8446

Instaloni WordPress në OpenBSD 6.2

Instaloni WordPress në OpenBSD 6.2

Hyrje WordPress është sistemi dominues i menaxhimit të përmbajtjes në internet. Ai fuqizon gjithçka, nga blogjet tek faqet e internetit komplekse me përmbajtje dinamike

Si të instaloni Subrion 4.1 CMS në një FreeBSD 11 FAMP VPS

Si të instaloni Subrion 4.1 CMS në një FreeBSD 11 FAMP VPS

Përdorimi i një sistemi të ndryshëm? Subrion 4.1 CMS është një sistem i fuqishëm dhe fleksibël i menaxhimit të përmbajtjes me burim të hapur (CMS) që sjell një përmbajtje intuitive dhe të qartë

Si të konfiguroni DJBDNS në FreeBSD

Si të konfiguroni DJBDNS në FreeBSD

Ky tutorial do t'ju tregojë se si të konfiguroni një shërbim DNS që është i lehtë për t'u mirëmbajtur, i lehtë për t'u konfiguruar dhe që në përgjithësi është më i sigurt se BIN klasik.

Si të instaloni Nginx, MySQL dhe PHP (FEMP) Stack në FreeBSD 12.0

Si të instaloni Nginx, MySQL dhe PHP (FEMP) Stack në FreeBSD 12.0

Një grumbull FEMP, i cili është i krahasueshëm me një pirg LEMP në Linux, është një koleksion softuerësh me burim të hapur që zakonisht instalohet së bashku për të mundësuar një FreeBS

Instalimi i MongoDB në FreeBSD 10

Instalimi i MongoDB në FreeBSD 10

MongoDB është një bazë të dhënash NoSQL e klasit botëror që përdoret shpesh në aplikacionet më të reja në internet. Ai siguron pyetje, ndarje dhe përsëritje me performancë të lartë

Si të instaloni Monica në FreeBSD 12

Si të instaloni Monica në FreeBSD 12

Përdorimi i një sistemi të ndryshëm? Monica është një sistem i menaxhimit të marrëdhënieve personale me burim të hapur. Mendoni për atë si një CRM (një mjet popullor i përdorur nga ekipet e shitjeve në th

OpenBSD si një zgjidhje për tregtinë elektronike me PrestaShop dhe Apache

OpenBSD si një zgjidhje për tregtinë elektronike me PrestaShop dhe Apache

Hyrje Ky tutorial demonstron OpenBSD si një zgjidhje e-commerce duke përdorur PrestaShop dhe Apache. Kërkohet Apache sepse PrestaShop ka UR komplekse

Instalimi i Fork CMS në FreeBSD 12

Instalimi i Fork CMS në FreeBSD 12

Përdorimi i një sistemi të ndryshëm? Fork është një CMS me burim të hapur i shkruar në PHP. Kodi burimor i Forks është pritur në GitHub. Ky udhëzues do t'ju tregojë se si të instaloni Fork CM

Si të instaloni Directus 6.4 CMS në një FreeBSD 11 FAMP VPS

Si të instaloni Directus 6.4 CMS në një FreeBSD 11 FAMP VPS

Përdorimi i një sistemi të ndryshëm? Directus 6.4 CMS është një sistem i fuqishëm dhe fleksibël, pa pagesë dhe me burim të hapur Headless Content Management System (CMS) që ofron zhvillues

Rritja e sigurisë për FreeBSD duke përdorur IPFW dhe SSHGuard

Rritja e sigurisë për FreeBSD duke përdorur IPFW dhe SSHGuard

Serverët VPS janë shpesh në shënjestër nga ndërhyrës. Një lloj i zakonshëm sulmi shfaqet në regjistrat e sistemit si qindra përpjekje të paautorizuara për hyrje ssh. Vendosja

Konfiguro httpd në OpenBSD

Konfiguro httpd në OpenBSD

Hyrje OpenBSD 5.6 prezantoi një daemon të ri të quajtur httpd, i cili mbështet CGI (nëpërmjet FastCGI) dhe TLS. Nuk nevojitet punë shtesë për të instaluar http-in e ri

Konfiguro iRedMail në FreeBSD 10

Konfiguro iRedMail në FreeBSD 10

Ky tutorial do t'ju tregojë se si të instaloni grupin iRedMail në një instalim të ri të FreeBSD 10. Ju duhet të përdorni një server me të paktën një gigabajt o

Ngritja e makinave: Aplikimet në botën reale të AI

Ngritja e makinave: Aplikimet në botën reale të AI

Inteligjenca Artificiale nuk është në të ardhmen, është këtu në të tashmen Në këtë blog Lexoni se si aplikacionet e inteligjencës artificiale kanë ndikuar në sektorë të ndryshëm.

Sulmet DDOS: Një përmbledhje e shkurtër

Sulmet DDOS: Një përmbledhje e shkurtër

A jeni edhe ju viktimë e Sulmeve DDOS dhe jeni konfuz në lidhje me metodat e parandalimit? Lexoni këtë artikull për të zgjidhur pyetjet tuaja.

A e keni pyetur ndonjëherë veten se si fitojnë para hakerët?

A e keni pyetur ndonjëherë veten se si fitojnë para hakerët?

Ju mund të keni dëgjuar se hakerët fitojnë shumë para, por a keni menduar ndonjëherë se si i fitojnë ato para? Le te diskutojme.

Shpikjet revolucionare nga Google që do tju bëjnë të lehtë jetën tuaj.

Shpikjet revolucionare nga Google që do tju bëjnë të lehtë jetën tuaj.

Dëshironi të shihni shpikjet revolucionare nga Google dhe se si këto shpikje ndryshuan jetën e çdo njeriu sot? Më pas lexoni në blog për të parë shpikjet nga Google.

E Premte Thelbësore: Çfarë ndodhi me Makinat e drejtuara nga AI?

E Premte Thelbësore: Çfarë ndodhi me Makinat e drejtuara nga AI?

Koncepti i makinave vetë-drejtuese për të dalë në rrugë me ndihmën e inteligjencës artificiale është një ëndërr që e kemi prej kohësh. Por, pavarësisht nga disa premtime, ato nuk shihen askund. Lexoni këtë blog për të mësuar më shumë…

Singulariteti teknologjik: Një e ardhme e largët e qytetërimit njerëzor?

Singulariteti teknologjik: Një e ardhme e largët e qytetërimit njerëzor?

Ndërsa Shkenca evoluon me një ritëm të shpejtë, duke marrë përsipër shumë nga përpjekjet tona, rriten edhe rreziqet për t'iu nënshtruar një Singulariteti të pashpjegueshëm. Lexoni, çfarë mund të thotë singulariteti për ne.

Evolucioni i ruajtjes së të dhënave - Infografik

Evolucioni i ruajtjes së të dhënave - Infografik

Metodat e ruajtjes së të dhënave kanë evoluar mund të jenë që nga lindja e të dhënave. Ky blog mbulon evolucionin e ruajtjes së të dhënave në bazë të një infografike.

Funksionalitetet e shtresave të arkitekturës së referencës së të dhënave të mëdha

Funksionalitetet e shtresave të arkitekturës së referencës së të dhënave të mëdha

Lexoni blogun për të njohur shtresat e ndryshme në arkitekturën e të dhënave të mëdha dhe funksionalitetet e tyre në mënyrën më të thjeshtë.

6 Përfitimet e mahnitshme të të pasurit pajisje shtëpiake inteligjente në jetën tonë

6 Përfitimet e mahnitshme të të pasurit pajisje shtëpiake inteligjente në jetën tonë

Në këtë botë të drejtuar nga dixhitali, pajisjet inteligjente të shtëpisë janë bërë një pjesë thelbësore e jetës. Këtu janë disa përfitime të mahnitshme të pajisjeve shtëpiake inteligjente se si ato e bëjnë jetën tonë të vlefshme dhe më të thjeshtë.

Përditësimi shtesë i macOS Catalina 10.15.4 po shkakton më shumë probleme sesa zgjidhja

Përditësimi shtesë i macOS Catalina 10.15.4 po shkakton më shumë probleme sesa zgjidhja

Së fundmi Apple lëshoi ​​macOS Catalina 10.15.4 një përditësim shtesë për të rregulluar problemet, por duket se përditësimi po shkakton më shumë probleme që çojnë në bricking të makinerive mac. Lexoni këtë artikull për të mësuar më shumë