Досега вероятно сте променили своя SSH порт по подразбиране. Все пак хакерите могат лесно да сканират диапазони на портове, за да открият този порт - но с чукане на портове можете да заблудите портовите скенери. Начинът, по който работи е, че вашият SSH клиент се опитва да се свърже с поредица от портове, всички от които ще откажат връзката ви, но ще отключят определен порт, който позволява връзката ви. Много сигурен и лесен за инсталиране. Чукането на порт е един от най-добрите начини да защитите сървъра си от неоторизирани опити за SSH връзка.
Тази статия ще ви научи как да настроите чукване на портове. Написан е за Debian 7 (Wheezy), но може да работи и на други версии на Debian и Ubuntu.
Предполагам, че вече сте инсталирали SSH сървър. Ако не сте, изпълнете следните команди като root:
apt-get update
apt-get install openssh-server
apt-get install knockd
След това инсталирайте iptables.
apt-get install iptables
Няма много пакети за инсталиране - това го прави идеалното решение за защита срещу опити за груба сила, като същевременно е лесен за настройка.
Тъй като вашият SSH порт ще се затвори, след като се свържете, трябва да се уверим, че сървърът ви позволява да останете свързани, докато блокираме други опити за свързване. Изпълнете тези команди на вашия сървър като root.
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save
Това ще позволи съществуващите връзки да останат, но ще блокира всичко друго към вашия SSH порт.
Сега нека конфигурираме knockd.
Тук се случва магията - ще можете да изберете кои портове ще трябва да бъдат избити в началото. Отворете текстов редактор към файла /etc/knockd.conf.
nano /etc/knockd.conf
Ще има раздел, който изглежда като следния блок.
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
В този раздел ще можете да промените последователността на портовете, които трябва да бъдат изключени. За сега, ние ще останем с портове 7000, 8000 и 9000. Промяна на seq_timeout = 5до seq_timeout = 10, а за closeSSHчастта, направете същото за seq_timeoutлинията. В closeSSHсекцията има и последователен ред , който също трябва да промените.
Трябва да активираме knockd, така че отворете вашия редактор като root отново.
nano /etc/default/knockd
Променете 0 в секцията START_KNOCKDна 1, след което запазете и излезте.
Сега започнете да чукате:
service knockd start
Страхотен! Всичко е инсталирано. Ако прекъснете връзката със сървъра си, ще трябва да избиете портове 7000, 8000 и 9000, за да се свържете отново.
Ако всичко е инсталирано правилно, не би трябвало да можете да се свържете с вашия SSH сървър.
Можете да тествате чукването на портове с telnet клиент.
Потребителите на Windows могат да стартират telnet от командния ред. Ако telnet не е инсталиран, отворете секцията „Програми“ на контролния панел, след което намерете „Включване или изключване на функциите на Windows“. В панела с функции намерете "Telnet Client" и го активирайте.
Във вашия терминал/команден ред въведете:
telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000
Направете всичко това за десет секунди, тъй като това е ограничението, наложено в конфигурацията. Сега опитайте да се свържете с вашия сървър чрез SSH. Ще бъде достъпно.
За да затворите SSH сървъра, изпълнете командите в обратен ред.
telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000
Най-добрата част от използването на чукване на портове е, че ако е конфигурирано заедно с удостоверяване на частен ключ, практически няма шанс някой друг да влезе, освен ако някой не знае портовете и частния ключ.
Използване на различна система? Ако закупите сървър на Debian, винаги трябва да имате най-новите корекции за сигурност и актуализации, независимо дали спите или не
Този урок обяснява как да настроите DNS сървър с помощта на Bind9 на Debian или Ubuntu. В цялата статия заменете your-domain-name.com съответно. При th
В тази статия ще видим как да компилирате и инсталирате основната линия на Nginx от официалните източници на Nginx с модула PageSpeed, който ви позволява да
Използване на различна система? Въведение Kanboard е безплатна програма за управление на проекти с отворен код, която е предназначена да улеснява и визуализира
Използване на различна система? Gitea е алтернатива с отворен код, самостоятелно хоствана система за контрол на версиите, задвижвана от Git. Gitea е написана на Голанг и е
Въведение Lynis е безплатен инструмент за одит на системата с отворен код, който се използва от много системни администратори за проверка на целостта и заздравяване на техните системи. аз
Използване на различна система? Thelia е инструмент с отворен код за създаване на уебсайтове за е-бизнес и управление на онлайн съдържание, написано на PHP. Изходен код на Thelia i
Какво ви трябва Vultr VPS с поне 1 GB RAM. SSH достъп (с root/административни привилегии). Стъпка 1: Инсталиране на BungeeCord На първо място
Golang е език за програмиране, разработен от Google. Благодарение на своята гъвкавост, простота и надеждност, Golang се превърна в един от най-популярните
Ако сте забравили вашата MySQL root парола, можете да я нулирате, като следвате стъпките в тази статия. Процесът е доста прост и работи върху тях
В това ръководство ще настроим сървър за игри Counter Strike: Source на Debian 7. Тези команди бяха тествани на Debian 7, но те също трябва да работят o
В това ръководство ще научите как да настроите Unturned 2.2.5 сървър на Vultr VPS, работещ с Debian 8. Забележка: Това е редактирана версия на Unturned, която не
В този урок ще научите как да инсталирате Cachet на Debian 8. Cachet е мощна система за страници със статус с отворен код. Инсталиране Този урок е готов
Въведение В тази статия, разгледайте как да архивирате множество MySQL или MariaDB бази данни, които се намират на една и съща машина с помощта на персонализиран bash scrip
Тази статия ще ви научи как да настроите chroot jail на Debian. Предполагам, че използвате Debian 7.x. Ако използвате Debian 6 или 8, това може да работи, bu
Използване на различна система? Reader Self 3.5 е прост и гъвкав, безплатен и отворен код, самостоятелно хостван RSS четец и алтернатива на Google Reader. Reader Sel
Използване на различна система? Backdrop CMS 1.8.0 е проста и гъвкава, удобна за мобилни устройства, безплатна система за управление на съдържанието (CMS) с отворен код, която ни позволява
В този урок ще инсталираме SteamCMD. SteamCMD може да се използва за изтегляне и инсталиране на много сървъри за игри на Steam, като Counter-Strike: Global Offensiv
Както може би знаете, хранилищата на Debian се актуализират много бавно. Към момента на писане версиите на версията на Python са 2.7.12 и 3.5.2, но в хранилището на Debian 8
Samba е решение с отворен код, което позволява на потребителите да настройват бързо и сигурно споделяне на файлове и печат. В тази статия ще разгледам как да настроя Samba wit
Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.
Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.
Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.
Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.
Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…
Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.
Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.
Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.
В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.
Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече
