Защитете SSH достъпа с помощта на Spiped On OpenBSD

Тъй като SSH достъпът е най-важната входна точка за администриране на вашия сървър, той се превърна в широко използван вектор на атака.

Основните стъпки за защита на SSH включват: деактивиране на root достъпа, изключване на удостоверяването с парола напълно (и използване на ключове вместо това) и промяна на портове (малко общо със сигурността, освен минимизиране на общите скенери на портове и спам в журнала).

Следващата стъпка ще бъде решение за PF защитна стена с проследяване на връзката. Това решение ще управлява състоянията на връзката и ще блокира всеки IP, който има твърде много връзки. Това работи чудесно и е много лесно за изпълнение с PF, но SSH демонът все още е изложен на интернет.

Какво ще кажете да направите SSH напълно недостъпен отвън? Тук влиза spiped . От началната страница:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Страхотен! За наш късмет, той има висококачествен OpenBSD пакет, който върши цялата подготвителна работа вместо нас, така че можем да започнем, като го инсталираме:

sudo pkg_add spiped

Това също така инсталира хубав скрипт за инициализиране за нас, така че можем да продължим и да го активираме:

sudo rcctl enable spiped

И накрая го започнете:

sudo rcctl start spiped

Скриптът init гарантира, че ключът е създаден за нас (който ще ни трябва на локална машина след малко).

Това, което трябва да направим сега, е да деактивираме sshdслушането на публичен адрес, да блокираме порт 22 и да разрешим порт 8022 (който по подразбиране се използва в spiped init скрипт).

Отворете /etc/ssh/sshd_configфайла и променете (и разкоментирайте) ListenAddressреда за четене 127.0.0.1:

ListenAddress 127.0.0.1

Ако използвате PF правила за блокиране на порт, уверете се, че сте прехвърлили порт 8022 (и можете да оставите порт 22 блокиран), напр.

pass in on egress proto tcp from any to any port 8022

Не забравяйте да презаредите правилата, за да го направите активен:

sudo pfctl -f /etc/pf.conf

Сега всичко, от което се нуждаем, е да копираме генерирания spiped ключ ( /etc/spiped/spiped.key) от сървъра на локална машина и да коригираме нашата SSH конфигурация, нещо в следния ред:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedОчевидно трябва да сте инсталирали и на локална машина. Ако сте копирали ключа и сте коригирали имената/пътеките, тогава трябва да можете да се свържете с този ProxyCommandред във вашия ~/.ssh/configфайл.

След като потвърдите, че работи, можем да рестартираме sshdна сървър:

sudo rcctl restart sshd

И това е! Сега напълно елиминирате един голям вектор на атака и имате една услуга по-малко, която слуша на публичен интерфейс. Сега изглежда, че вашите SSH връзки идват от localhost, например:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Предимство от използването на Vultr е, че всеки Vultr VPS предлага приятен онлайн клиент от тип VNC, който можем да използваме, в случай че случайно се заключим. Експериментирайте далеч!