Klepání portu na Debianu

Nyní jste pravděpodobně změnili výchozí port SSH. Přesto mohou hackeři snadno skenovat rozsahy portů, aby tento port objevili - ale pomocí klepání portů můžete oklamat skenery portů. Funguje to tak, že se váš klient SSH pokouší připojit k sekvenci portů, z nichž všechny odmítnou vaše připojení, ale odemknou určený port, který vaše připojení umožňuje. Velmi bezpečný a jednoduchý na instalaci. Klepání portů je jedním z nejlepších způsobů, jak chránit váš server před neoprávněnými pokusy o připojení SSH.

Tento článek vás naučí, jak nastavit klepání portů. Byl napsán pro Debian 7 (Wheezy), ale může fungovat i na jiných verzích Debianu a Ubuntu.

Krok 1: Instalace požadovaných balíčků

Předpokládám, že jste již nainstalovali SSH server. Pokud jste tak neučinili, spusťte následující příkazy jako root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Poté nainstalujte iptables.

apt-get install iptables

Není mnoho balíčků k instalaci – to je to, co z něj dělá perfektní řešení na ochranu před pokusy o hrubou sílu a zároveň se snadno nastavuje.

Krok 2: Konfigurace iptables pro použití této funkce

Protože se váš port SSH po připojení zavře, musíme se ujistit, že vám server umožňuje zůstat připojeni a zároveň blokovat další pokusy o připojení. Proveďte tyto příkazy na vašem serveru jako root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

To umožní zachovat stávající připojení, ale blokovat cokoliv jiného k vašemu portu SSH.

Nyní nakonfigurujeme knockd.

Tady se odehrává kouzlo – budete si moci vybrat, jaké porty bude potřeba nejprve zaklepat. Otevřete textový editor souboru /etc/knockd.conf.

nano /etc/knockd.conf

Bude zde sekce, která vypadá jako následující blok.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

V této části budete moci změnit pořadí portů, které je třeba zaklepat. Pro tuto chvíli zůstaneme s porty 7000, 8000 a 9000. Změna seq_timeout = 5se seq_timeout = 10, a na closeSSHčást, to samé pro seq_timeoutlinku. V closeSSHsekci je také sekvenční řádek , který musíte také upravit.

Musíme povolit knockd, takže znovu otevřete svůj editor jako root.

nano /etc/default/knockd

Změňte 0 v sekci START_KNOCKDna 1, poté uložte a ukončete.

Nyní začněte klepat:

service knockd start

Skvělý! Vše je nainstalováno. Pokud se odpojíte od svého serveru, budete muset zaklepat porty 7000, 8000 a 9000, abyste se mohli znovu připojit.

Krok 3: Pojďme to vyzkoušet

Pokud bylo vše správně nainstalováno, neměli byste být schopni se připojit k vašemu SSH serveru.

Pomocí klienta telnet můžete otestovat klepání portů.

Uživatelé Windows mohou spustit telnet z příkazového řádku. Pokud telnet není nainstalován, přejděte do části "Programy" v Ovládacích panelech a vyhledejte "Zapnout nebo vypnout funkce systému Windows". Na panelu funkcí vyhledejte "Telnet Client" a povolte jej.

Ve vašem terminálu/příkazovém řádku zadejte:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Udělejte to vše za deset sekund, protože to je limit stanovený v konfiguraci. Nyní se pokuste připojit k serveru přes SSH. Bude přístupný.

Chcete-li zavřít server SSH, spusťte příkazy v opačném pořadí.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Závěr

Nejlepší na použití klepání portů je, že pokud je nakonfigurováno spolu s autentizací soukromým klíčem, není prakticky žádná šance, že by se někdo mohl dostat dovnitř, pokud někdo nezná porty a soukromý klíč.