Da SSH-adgang er det vigtigste indgangspunkt for administration af din server, er det blevet en meget brugt angrebsvektor.
Grundlæggende trin til at sikre SSH inkluderer: deaktivering af root-adgang, helt deaktivering af adgangskodegodkendelse (og brug af nøgler i stedet) og ændring af porte (lidt at gøre med sikkerhed, bortset fra at minimere almindelige portscannere og log-spam).
Det næste trin ville være en PF firewall-løsning med forbindelsessporing. Denne løsning vil administrere forbindelsestilstande og blokere enhver IP, der har for mange forbindelser. Dette fungerer godt og er meget nemt at gøre med PF, men SSH-dæmonen er stadig udsat for internettet.
Hvad med at gøre SSH fuldstændig utilgængeligt udefra? Det er her spiped kommer ind i billedet . Fra hjemmesiden:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Store! Heldigvis for os har den en OpenBSD-pakke af høj kvalitet, som gør alt det forberedende arbejde for os, så vi kan starte med at installere det:
sudo pkg_add spiped
Dette installerer også et godt init-script til os, så vi kan gå videre og aktivere det:
sudo rcctl enable spiped
Og start det endelig:
sudo rcctl start spiped
Init-scriptet sørger for, at nøglen oprettes til os (som vi skal bruge på en lokal maskine om lidt).
Hvad vi skal gøre nu, er at deaktivere sshdfra at lytte på offentlig adresse, blokere port 22 og tillade port 8022 (som som standard bruges i spiped init script).
Åbn /etc/ssh/sshd_configfilen og skift (og fjern kommenter) ListenAddresslinjen for at læse 127.0.0.1:
ListenAddress 127.0.0.1
Hvis du bruger PF-regler til portblokering, skal du sørge for at passere port 8022 (og du kan lade port 22 være blokeret), f.eks.:
pass in on egress proto tcp from any to any port 8022
Sørg for at genindlæse reglerne for at gøre det aktivt:
sudo pfctl -f /etc/pf.conf
Nu mangler vi bare at kopiere den genererede spipede nøgle ( /etc/spiped/spiped.key) fra serveren til en lokal maskine og justere vores SSH-konfiguration, noget i retning af følgende:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Du skal spipe/spipedselvfølgelig også have installeret på en lokal maskine. Hvis du har kopieret nøglen og justeret navnene/stierne, så burde du være i stand til at oprette forbindelse til den ProxyCommandlinje i din ~/.ssh/configfil.
Når du har bekræftet, at det virker, kan vi genstarte sshdpå en server:
sudo rcctl restart sshd
Og det er det! Nu har du fuldstændig elimineret én stor angrebsvektor, og du har en tjeneste mindre, der lytter på en offentlig grænseflade. Dine SSH-forbindelser skulle nu se ud til at være kommet fra localhost, for eksempel:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
En fordel ved at bruge Vultr er, at hver Vultr VPS tilbyder en fin online VNC-type klient tilgængelig, som vi kan bruge i tilfælde af, at vi ved et uheld låser os selv ude. Eksperimenter væk!
Bruger du et andet system? Tiny Tiny RSS Reader er en gratis og open source selv-hostet webbaseret nyhedsfeed (RSS/Atom) læser og aggregator, designet til at allo
Using a Different System? Wiki.js is a free and open source, modern wiki app built on Node.js, MongoDB, Git and Markdown. Wiki.js source code is publicl
Bruger du et andet system? Pagekit 1.0 CMS er et smukt, modulært, udvideligt og let, gratis og open source Content Management System (CMS) med
Bruger du et andet system? MODX Revolution er et hurtigt, fleksibelt, skalerbart, open source, enterprise-grade Content Management System (CMS) skrevet i PHP. Det jeg
Denne artikel guider dig gennem opsætning af OpenBSD 5.5 (64-bit) på KVM med en Vultr VPS. Trin 1. Log ind på Vultr kontrolpanelet. Trin 2. Klik på DEPLAY
Bruger du et andet system? osTicket er et open source kundesupport billetsystem. osTicket-kildekoden er offentligt hostet på Github. I denne tutorial
Bruger du et andet system? Flarum er en gratis og open source næste generations forumsoftware, der gør online diskussion sjov. Flarum kildekode er hostet o
Bruger du et andet system? TLS 1.3 er en version af Transport Layer Security (TLS) protokollen, der blev offentliggjort i 2018 som en foreslået standard i RFC 8446
Introduktion WordPress er det dominerende content management system på internettet. Det driver alt fra blogs til komplekse websteder med dynamisk indhold
Bruger du et andet system? Subrion 4.1 CMS er et kraftfuldt og fleksibelt open source Content Management System (CMS), der bringer et intuitivt og klart indhold
Denne vejledning viser dig, hvordan du konfigurerer en DNS-tjeneste, der er nem at vedligeholde, nem at konfigurere, og som generelt er mere sikker end den klassiske BIN
En FEMP-stak, som kan sammenlignes med en LEMP-stak på Linux, er en samling open source-software, der typisk installeres sammen for at aktivere en FreeBS
MongoDB er en NoSQL-database i verdensklasse, der ofte bruges i nyere webapplikationer. Det giver højtydende forespørgsler, sharding og replikering
Bruger du et andet system? Monica er et open source system til styring af personlige relationer. Tænk på det som et CRM (et populært værktøj, der bruges af salgsteams i th
Introduktion Denne tutorial demonstrerer OpenBSD som en e-handelsløsning, der bruger PrestaShop og Apache. Apache er påkrævet, fordi PrestaShop har kompleks UR
Bruger du et andet system? Fork er et open source CMS skrevet i PHP. Forks kildekode er hostet på GitHub. Denne vejledning viser dig, hvordan du installerer Fork CM
Bruger du et andet system? Directus 6.4 CMS er et kraftfuldt og fleksibelt, gratis og open source Headless Content Management System (CMS), der giver udviklere
VPS-servere er ofte målrettet af ubudne gæster. En almindelig type angreb dukker op i systemlogfiler som hundredvis af uautoriserede ssh-loginforsøg. Sætte op
Introduktion OpenBSD 5.6 introducerede en ny dæmon kaldet httpd, som understøtter CGI (via FastCGI) og TLS. Der kræves ikke yderligere arbejde for at installere den nye http
Denne vejledning viser dig, hvordan du installerer groupware iRedMail på en ny installation af FreeBSD 10. Du bør bruge en server med mindst én gigabyte o
Kunstig intelligens er ikke i fremtiden, det er her lige i nuet I denne blog Læs, hvordan kunstig intelligens-applikationer har påvirket forskellige sektorer.
Er du også et offer for DDOS-angreb og forvirret over forebyggelsesmetoderne? Læs denne artikel for at løse dine spørgsmål.
Du har måske hørt, at hackere tjener mange penge, men har du nogensinde spekuleret på, hvordan tjener de den slags penge? lad os diskutere.
Vil du se revolutionerende opfindelser fra Google, og hvordan disse opfindelser ændrede livet for ethvert menneske i dag? Læs derefter til bloggen for at se opfindelser fra Google.
Konceptet med selvkørende biler til at køre på vejene ved hjælp af kunstig intelligens er en drøm, vi har haft i et stykke tid nu. Men på trods af flere løfter er de ingen steder at se. Læs denne blog for at lære mere...
Efterhånden som videnskaben udvikler sig i et hurtigt tempo og overtager en stor del af vores indsats, stiger risikoen for at udsætte os selv for en uforklarlig Singularitet. Læs, hvad singularitet kunne betyde for os.
Opbevaringsmetoderne for dataene har været under udvikling, kan være siden fødslen af dataene. Denne blog dækker udviklingen af datalagring på basis af en infografik.
Læs bloggen for at kende forskellige lag i Big Data-arkitekturen og deres funktionaliteter på den enkleste måde.
I denne digitalt drevne verden er smarte hjemmeenheder blevet en afgørende del af livet. Her er et par fantastiske fordele ved smarte hjemmeenheder om, hvordan de gør vores liv værd at leve og enklere.
For nylig udgav Apple macOS Catalina 10.15.4 en supplerende opdatering for at løse problemer, men det ser ud til, at opdateringen forårsager flere problemer, hvilket fører til mursten af mac-maskiner. Læs denne artikel for at lære mere
