Port Knocking на Debian

Досега вероятно сте променили своя SSH порт по подразбиране. Все пак хакерите могат лесно да сканират диапазони на портове, за да открият този порт - но с чукане на портове можете да заблудите портовите скенери. Начинът, по който работи е, че вашият SSH клиент се опитва да се свърже с поредица от портове, всички от които ще откажат връзката ви, но ще отключят определен порт, който позволява връзката ви. Много сигурен и лесен за инсталиране. Чукането на порт е един от най-добрите начини да защитите сървъра си от неоторизирани опити за SSH връзка.

Тази статия ще ви научи как да настроите чукване на портове. Написан е за Debian 7 (Wheezy), но може да работи и на други версии на Debian и Ubuntu.

Стъпка 1: Инсталиране на необходимите пакети

Предполагам, че вече сте инсталирали SSH сървър. Ако не сте, изпълнете следните команди като root:

apt-get update
apt-get install openssh-server
apt-get install knockd

След това инсталирайте iptables.

apt-get install iptables

Няма много пакети за инсталиране - това го прави идеалното решение за защита срещу опити за груба сила, като същевременно е лесен за настройка.

Стъпка 2: Конфигуриране на iptables за използване на тази функция

Тъй като вашият SSH порт ще се затвори, след като се свържете, трябва да се уверим, че сървърът ви позволява да останете свързани, докато блокираме други опити за свързване. Изпълнете тези команди на вашия сървър като root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Това ще позволи съществуващите връзки да останат, но ще блокира всичко друго към вашия SSH порт.

Сега нека конфигурираме knockd.

Тук се случва магията - ще можете да изберете кои портове ще трябва да бъдат избити в началото. Отворете текстов редактор към файла /etc/knockd.conf.

nano /etc/knockd.conf

Ще има раздел, който изглежда като следния блок.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

В този раздел ще можете да промените последователността на портовете, които трябва да бъдат изключени. За сега, ние ще останем с портове 7000, 8000 и 9000. Промяна на seq_timeout = 5до seq_timeout = 10, а за closeSSHчастта, направете същото за seq_timeoutлинията. В closeSSHсекцията има и последователен ред , който също трябва да промените.

Трябва да активираме knockd, така че отворете вашия редактор като root отново.

nano /etc/default/knockd

Променете 0 в секцията START_KNOCKDна 1, след което запазете и излезте.

Сега започнете да чукате:

service knockd start

Страхотен! Всичко е инсталирано. Ако прекъснете връзката със сървъра си, ще трябва да избиете портове 7000, 8000 и 9000, за да се свържете отново.

Стъпка 3: Нека да го изпробваме

Ако всичко е инсталирано правилно, не би трябвало да можете да се свържете с вашия SSH сървър.

Можете да тествате чукването на портове с telnet клиент.

Потребителите на Windows могат да стартират telnet от командния ред. Ако telnet не е инсталиран, отворете секцията „Програми“ на контролния панел, след което намерете „Включване или изключване на функциите на Windows“. В панела с функции намерете "Telnet Client" и го активирайте.

Във вашия терминал/команден ред въведете:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Направете всичко това за десет секунди, тъй като това е ограничението, наложено в конфигурацията. Сега опитайте да се свържете с вашия сървър чрез SSH. Ще бъде достъпно.

За да затворите SSH сървъра, изпълнете командите в обратен ред.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Заключение

Най-добрата част от използването на чукване на портове е, че ако е конфигурирано заедно с удостоверяване на частен ключ, практически няма шанс някой друг да влезе, освен ако някой не знае портовете и частния ключ.