Тъй като SSH достъпът е най-важната входна точка за администриране на вашия сървър, той се превърна в широко използван вектор на атака.
Основните стъпки за защита на SSH включват: деактивиране на root достъпа, изключване на удостоверяването с парола напълно (и използване на ключове вместо това) и промяна на портове (малко общо със сигурността, освен минимизиране на общите скенери на портове и спам в журнала).
Следващата стъпка ще бъде решение за PF защитна стена с проследяване на връзката. Това решение ще управлява състоянията на връзката и ще блокира всеки IP, който има твърде много връзки. Това работи чудесно и е много лесно за изпълнение с PF, но SSH демонът все още е изложен на интернет.
Какво ще кажете да направите SSH напълно недостъпен отвън? Тук влиза spiped . От началната страница:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Страхотен! За наш късмет, той има висококачествен OpenBSD пакет, който върши цялата подготвителна работа вместо нас, така че можем да започнем, като го инсталираме:
sudo pkg_add spiped
Това също така инсталира хубав скрипт за инициализиране за нас, така че можем да продължим и да го активираме:
sudo rcctl enable spiped
И накрая го започнете:
sudo rcctl start spiped
Скриптът init гарантира, че ключът е създаден за нас (който ще ни трябва на локална машина след малко).
Това, което трябва да направим сега, е да деактивираме sshdслушането на публичен адрес, да блокираме порт 22 и да разрешим порт 8022 (който по подразбиране се използва в spiped init скрипт).
Отворете /etc/ssh/sshd_configфайла и променете (и разкоментирайте) ListenAddressреда за четене 127.0.0.1:
ListenAddress 127.0.0.1
Ако използвате PF правила за блокиране на порт, уверете се, че сте прехвърлили порт 8022 (и можете да оставите порт 22 блокиран), напр.
pass in on egress proto tcp from any to any port 8022
Не забравяйте да презаредите правилата, за да го направите активен:
sudo pfctl -f /etc/pf.conf
Сега всичко, от което се нуждаем, е да копираме генерирания spiped ключ ( /etc/spiped/spiped.key) от сървъра на локална машина и да коригираме нашата SSH конфигурация, нещо в следния ред:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
spipe/spipedОчевидно трябва да сте инсталирали и на локална машина. Ако сте копирали ключа и сте коригирали имената/пътеките, тогава трябва да можете да се свържете с този ProxyCommandред във вашия ~/.ssh/configфайл.
След като потвърдите, че работи, можем да рестартираме sshdна сървър:
sudo rcctl restart sshd
И това е! Сега напълно елиминирате един голям вектор на атака и имате една услуга по-малко, която слуша на публичен интерфейс. Сега изглежда, че вашите SSH връзки идват от localhost, например:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Предимство от използването на Vultr е, че всеки Vultr VPS предлага приятен онлайн клиент от тип VNC, който можем да използваме, в случай че случайно се заключим. Експериментирайте далеч!
Използване на различна система? Tiny Tiny RSS Reader е безплатен четец и агрегатор с отворен код, самостоятелно хостван уеб базиран новинарски канал (RSS/Atom), предназначен да
Използване на различна система? Wiki.js е безплатно и модерно уики приложение с отворен код, изградено на Node.js, MongoDB, Git и Markdown. Изходният код на Wiki.js е публичен
Използване на различна система? Pagekit 1.0 CMS е красива, модулна, разширяема и лека, безплатна система за управление на съдържанието (CMS) с отворен код с
Използване на различна система? MODX Revolution е бърза, гъвкава, мащабируема система за управление на съдържанието (CMS) от корпоративен клас, написана на PHP. То и
Тази статия ви превежда през настройката на OpenBSD 5.5 (64-битов) на KVM с Vultr VPS. Стъпка 1. Влезте в контролния панел на Vultr. Стъпка 2. Щракнете върху РАЗГРАЖДАНЕ
Използване на различна система? osTicket е система за билети за поддръжка на клиенти с отворен код. Изходният код на osTicket се хоства публично на Github. В този урок
Използване на различна система? Flarum е безплатен софтуер за форуми от следващо поколение с отворен код, който прави онлайн дискусията забавна. Изходният код на Flarum се хоства o
Използване на различна система? TLS 1.3 е версия на протокола за сигурност на транспортния слой (TLS), който беше публикуван през 2018 г. като предложен стандарт в RFC 8446
Въведение WordPress е доминиращата система за управление на съдържанието в интернет. Той захранва всичко от блогове до сложни уебсайтове с динамично съдържание
Използване на различна система? Subrion 4.1 CMS е мощна и гъвкава система за управление на съдържанието (CMS) с отворен код, която носи интуитивно и ясно съдържание
Този урок ще ви покаже как да конфигурирате DNS услуга, която е лесна за поддръжка, лесна за конфигуриране и която като цяло е по-сигурна от класическия BIN
FEMP стек, който е сравним с LEMP стек в Linux, е колекция от софтуер с отворен код, който обикновено се инсталира заедно, за да даде възможност на FreeBS
MongoDB е NoSQL база данни от световна класа, която често се използва в по-новите уеб приложения. Той осигурява заявки с висока производителност, разделяне и репликация
Използване на различна система? Monica е система за управление на лични взаимоотношения с отворен код. Мислете за него като за CRM (популярен инструмент, използван от търговските екипи в th
Въведение Този урок демонстрира OpenBSD като решение за електронна търговия, използващо PrestaShop и Apache. Apache е необходим, тъй като PrestaShop има сложен UR
Използване на различна система? Fork е CMS с отворен код, написан на PHP. Изходният код на Forks се хоства на GitHub. Това ръководство ще ви покаже как да инсталирате Fork CM
Използване на различна система? Directus 6.4 CMS е мощна и гъвкава, безплатна и с отворен код Headless Content Management System (CMS), която предоставя на разработчиците
VPS сървърите често са насочени от натрапници. Често срещан тип атака се появява в системните регистрационни файлове като стотици неоторизирани опити за влизане в ssh. Настройвам
Въведение OpenBSD 5.6 въведе нов демон, наречен httpd, който поддържа CGI (чрез FastCGI) и TLS. Не е необходима допълнителна работа за инсталиране на новия http
Този урок ще ви покаже как да инсталирате груповия софтуер iRedMail на нова инсталация на FreeBSD 10. Трябва да използвате сървър с поне един гигабайт o
Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.
Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.
Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.
Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.
Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…
Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.
Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.
Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.
В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.
Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече
