Jak dále zabezpečit SSH pomocí sekvence klepání portů na Ubuntu 18.04

Úvod

Kromě změny výchozího portu pro SSH a použití páru klíčů pro ověřování lze klepání portů použít k dalšímu zabezpečení (nebo přesněji zatemnění) vašeho serveru SSH. Funguje tak, že odmítá připojení k vašemu síťovému portu SSH. To v podstatě skryje skutečnost, že používáte server SSH, dokud není provedena sekvence pokusů o připojení k předdefinovaným portům. Velmi bezpečný a snadno implementovatelný port knocking je jedním z nejlepších způsobů, jak chránit váš server před škodlivými pokusy o připojení SSH.

Předpoklady

• Server Vultr se systémem Ubuntu 18.04.
• Sudo přístup.

Pokud nejste přihlášeni jako uživatel root, před provedením kroků níže získejte dočasný root shell spuštěním sudo -ia zadáním hesla. Případně můžete přidat sudopřed příkazy uvedené v tomto článku.

Krok 1: Instalace Knockd

Knockd je balíček, který se používá v kombinaci s iptables k implementaci klepání portů na vašem serveru. iptables-persistentVyžaduje se také balíček „ “.

apt update
apt install -y knockd iptables-persistent

Krok 2: Pravidla iptables

Spusťte následující příkazy v pořadí:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Tyto příkazy provedou následující, resp.

• Instruujte iptables, aby udržela existující připojení naživu.
• Dejte pokyn iptables, aby zrušil jakékoli připojení k portu tcp/22 (pokud váš démon SSH naslouchá na jiném portu než 22, měli byste odpovídajícím způsobem upravit výše uvedený příkaz.)
• Uložte tato dvě pravidla, aby zůstala zachována i po restartu.

Krok 3: Konfigurace Knockd

Pomocí libovolného textového editoru otevřete soubor /etc/knockd.conf.

Uvidíte následující:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Měli byste změnit pořadí portů (vyberte čísla portů výše 1024a nepoužívané jinými službami) a bezpečně je uložit. S touto kombinací by se mělo zacházet jako s heslem. Pokud zapomenete, ztratíte přístup k SSH. Tuto novou sekvenci budeme označovat jako x,y,z.

seq-timeoutlinka je počet sekund Knockd bude čekat na klienta k dokončení sekvence portů klepání. Bylo by dobré to změnit na něco většího, zvláště pokud bude klepání portů prováděno ručně. Menší hodnota časového limitu je však bezpečnější. Změnit to na 15doporučujeme, protože v tomto tutoriálu budeme klepat ručně.

Změňte sekvenci otevírání na vámi zvolené porty:

[openSSH]
sequence    = x,y,z

Změňte hodnotu příkazu na následující:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Nyní odpovídajícím způsobem změňte uzavírací sekvenci:

[closeSSH]
sequence    = z,y,x

Uložte změny a ukončete a otevřete soubor /etc/default/knockd:

• Nahradit START_KNOCKD=0za START_KNOCKD=1.
• Na konec souboru přidejte následující řádek: KNOCKD_OPTS="-i ens3"( ens3pokud se liší, nahraďte jej názvem vašeho veřejného síťového rozhraní.)
• Uložit a odejít.

Nyní spusťte Knockd:

systemctl start knockd

Pokud se nyní odpojíte od svého serveru, budete muset zaklepat na porty x, y, a zpro opětovné připojení.

Krok 4: Testování

Nyní se nebudete moci připojit ke svému SSH serveru.

Pomocí klienta telnet můžete otestovat klepání portů.

Uživatelé Windows mohou spustit telnet z příkazového řádku. Pokud telnet není nainstalován, přejděte do části "Programy" v Ovládacích panelech a vyhledejte "Zapnout nebo vypnout funkce systému Windows". Na panelu funkcí vyhledejte "Telnet Client" a povolte jej.

Ve svém terminálu/příkazovém řádku zadejte následující:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Udělejte to vše za patnáct sekund, protože to je limit stanovený v konfiguraci. Nyní se pokuste připojit k serveru přes SSH. Bude přístupný.

Chcete-li zavřít přístup k serveru SSH, spusťte příkazy v opačném pořadí.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Závěr

Nejlepší na použití klepání portů je, že pokud je nakonfigurováno spolu s autentizací soukromým klíčem, není prakticky žádná šance, že by se někdo mohl dostat dovnitř, pokud někdo nezná vaši sekvenci klepání portů a nemá váš soukromý klíč.