Как допълнително да защитите SSH с последователност за удряне на портове в Ubuntu 18.04

Въведение

Освен промяната на порта по подразбиране за SSH и използването на двойка ключове за удостоверяване, удрянето на портове може да се използва за по-нататъшна защита (или по-точно, скриване) на вашия SSH сървър. Той работи, като отказва връзки към вашия SSH мрежов порт. Това по същество крие факта, че използвате SSH сървър, докато не се направят поредица от опити за свързване към предварително дефинирани портове. Много сигурен и лесен за прилагане, чукването на порт е един от най-добрите начини да защитите сървъра си от злонамерени опити за SSH връзка.

Предпоставки

• Vultr сървър, работещ с Ubuntu 18.04.
• Sudo достъп.

Преди да следвате стъпките по-долу, ако не сте влезли като root потребител, моля, получете временна root обвивка, като стартирате sudo -iи въведете вашата парола. Като алтернатива можете да добавите sudoпреди командите, показани в тази статия.

Стъпка 1: Инсталиране на Knockd

Knockd е пакетът, който се използва в комбинация с iptables за внедряване на чукване на портове на вашия сървър. Пакетът „ iptables-persistent“ също е задължителен.

apt update
apt install -y knockd iptables-persistent

Стъпка 2: iptables правила

Изпълнете следните команди в ред:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Тези команди ще направят съответно следното:

• Инструктирайте iptables да поддържа съществуващите връзки живи.
• Инструктирайте iptables да прекъсне всяка връзка с порт tcp/22 (ако вашият SSH демон слуша на порт, различен от 22, трябва да промените съответно горната команда.)
• Запазете тези две правила, така че да се запазят след рестартиране.

Стъпка 3: Конфигурация на Knockd

С помощта на текстов редактор по ваш избор отворете файла /etc/knockd.conf.

Ще видите следното:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Трябва да промените последователността на портовете (изберете номерата на портове по-горе 1024и неизползвани от други услуги) и да го съхранявате безопасно. Тази комбинация трябва да се третира като парола. Ако забравите, ще загубите достъп до SSH. Ще наричаме тази нова последователност като x,y,z.

на seq-timeoutлинията е броят секунди Knockd ще чака на клиента, за да завършите последователността порт-чукат. Би било добра идея да промените това с нещо по-голямо, особено ако чукването на порт ще се извършва ръчно. Въпреки това, по-малката стойност на изчакване е по-безопасна. 15Препоръчва се да го промените на, тъй като в този урок ще чукаме ръчно.

Променете последователността на отваряне към избраните от вас портове:

[openSSH]
sequence    = x,y,z

Променете стойността на командата на следното:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Сега променете съответно последователността на затваряне:

[closeSSH]
sequence    = z,y,x

Запазете промените си и излезте и отворете файла /etc/default/knockd:

• Заменете START_KNOCKD=0с START_KNOCKD=1.
• Добавете следния ред в края на файла: KNOCKD_OPTS="-i ens3"(заменете ens3с името на вашия публичен мрежов интерфейс, ако се различава.)
• Запази и излез.

Сега стартирайте Knockd:

systemctl start knockd

Ако сега прекратите връзката със сървъра си, ще трябва да чукате на портове x, y, и zда се свържете отново.

Стъпка 4: Тестване

Сега няма да можете да се свържете с вашия SSH сървър.

Можете да тествате чукването на портове с telnet клиент.

Потребителите на Windows могат да стартират telnet от командния ред. Ако telnet не е инсталиран, отворете секцията „Програми“ на контролния панел, след което намерете „Включване или изключване на функциите на Windows“. В панела с функции намерете "Telnet Client" и го активирайте.

Във вашия терминал/команден ред въведете следното:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Направете всичко това за петнадесет секунди, тъй като това е ограничението, наложено в конфигурацията. Сега опитайте да се свържете с вашия сървър чрез SSH. Ще бъде достъпно.

За да затворите достъпа до SSH сървъра, изпълнете командите в обратен ред.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Заключение

Най-добрата част от използването на чукване на порт е, че ако е конфигурирано заедно с удостоверяване на частен ключ, практически няма шанс някой друг да влезе, освен ако някой не е знаел вашата последователност на чукване на порт и е разполагал с вашия частен ключ.