Chraňte přístup SSH pomocí Spiped On OpenBSD

Vzhledem k tomu, že přístup SSH je nejdůležitějším vstupním bodem pro správu vašeho serveru, stal se široce používaným vektorem útoku.

Mezi základní kroky k zabezpečení SSH patří: zakázání přístupu root, úplné vypnutí ověřování heslem (a místo toho použití klíčů) a změna portů (málo společného se zabezpečením kromě minimalizace běžných skenerů portů a protokolování spamu).

Dalším krokem by bylo řešení PF firewallu se sledováním připojení. Toto řešení by spravovalo stavy připojení a blokovalo jakoukoli IP, která má příliš mnoho připojení. Funguje to skvěle a je to velmi snadné s PF, ale démon SSH je stále vystaven internetu.

Co takhle úplně znepřístupnit SSH zvenčí? To je místo, kde přichází spiped . Z domovské stránky:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Skvělý! Naštěstí pro nás má vysoce kvalitní balíček OpenBSD, který za nás udělá veškerou přípravnou práci, takže můžeme začít jeho instalací:

sudo pkg_add spiped

To nám také nainstaluje pěkný init skript, takže můžeme pokračovat a povolit jej:

sudo rcctl enable spiped

A konečně začněte:

sudo rcctl start spiped

Skript init se postará o to, aby byl klíč vytvořen za nás (který za chvíli budeme potřebovat na lokálním počítači).

Co teď musíme udělat, je zakázat sshdnaslouchání na veřejné adrese, zablokovat port 22 a povolit port 8022 (který se ve výchozím nastavení používá ve skriptu sped init).

Otevřete /etc/ssh/sshd_configsoubor a změňte (a odkomentujte) ListenAddressřádek, který chcete číst 127.0.0.1:

ListenAddress 127.0.0.1

Pokud pro blokování portů používáte pravidla PF, ujistěte se, že jste předali port 8022 (a port 22 můžete nechat blokovaný), např.:

pass in on egress proto tcp from any to any port 8022

Nezapomeňte znovu načíst pravidla, aby byla aktivní:

sudo pfctl -f /etc/pf.conf

Nyní vše, co potřebujeme, je zkopírovat vygenerovaný klíč ( /etc/spiped/spiped.key) ze serveru na místní počítač a upravit naši konfiguraci SSH, něco v následujícím smyslu:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedSamozřejmě musíte mít nainstalováno také na místním počítači. Pokud jste zkopírovali klíč a upravili názvy/cesty, měli byste být schopni se připojit k tomuto ProxyCommandřádku ve vašem ~/.ssh/configsouboru.

Poté, co potvrdíte, že to funguje, můžeme restartovat sshdserver:

sudo rcctl restart sshd

A to je vše! Nyní jste zcela odstranili jeden velký útočný vektor a máte o jednu službu naslouchající na veřejném rozhraní méně. Vaše připojení SSH by nyní měla vypadat, že pocházela z localhost, například:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Výhodou používání Vultr je, že každý Vultr VPS nabízí pěkného online klienta typu VNC, kterého můžeme použít pro případ, že bychom se omylem uzamkli. Experimentujte pryč!