Beskyt SSH-adgang ved at bruge Spiped On OpenBSD

Da SSH-adgang er det vigtigste indgangspunkt for administration af din server, er det blevet en meget brugt angrebsvektor.

Grundlæggende trin til at sikre SSH inkluderer: deaktivering af root-adgang, helt deaktivering af adgangskodegodkendelse (og brug af nøgler i stedet) og ændring af porte (lidt at gøre med sikkerhed, bortset fra at minimere almindelige portscannere og log-spam).

Det næste trin ville være en PF firewall-løsning med forbindelsessporing. Denne løsning vil administrere forbindelsestilstande og blokere enhver IP, der har for mange forbindelser. Dette fungerer godt og er meget nemt at gøre med PF, men SSH-dæmonen er stadig udsat for internettet.

Hvad med at gøre SSH fuldstændig utilgængeligt udefra? Det er her spiped kommer ind i billedet . Fra hjemmesiden:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Store! Heldigvis for os har den en OpenBSD-pakke af høj kvalitet, som gør alt det forberedende arbejde for os, så vi kan starte med at installere det:

sudo pkg_add spiped

Dette installerer også et godt init-script til os, så vi kan gå videre og aktivere det:

sudo rcctl enable spiped

Og start det endelig:

sudo rcctl start spiped

Init-scriptet sørger for, at nøglen oprettes til os (som vi skal bruge på en lokal maskine om lidt).

Hvad vi skal gøre nu, er at deaktivere sshdfra at lytte på offentlig adresse, blokere port 22 og tillade port 8022 (som som standard bruges i spiped init script).

Åbn /etc/ssh/sshd_configfilen og skift (og fjern kommenter) ListenAddresslinjen for at læse 127.0.0.1:

ListenAddress 127.0.0.1

Hvis du bruger PF-regler til portblokering, skal du sørge for at passere port 8022 (og du kan lade port 22 være blokeret), f.eks.:

pass in on egress proto tcp from any to any port 8022

Sørg for at genindlæse reglerne for at gøre det aktivt:

sudo pfctl -f /etc/pf.conf

Nu mangler vi bare at kopiere den genererede spipede nøgle ( /etc/spiped/spiped.key) fra serveren til en lokal maskine og justere vores SSH-konfiguration, noget i retning af følgende:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Du skal spipe/spipedselvfølgelig også have installeret på en lokal maskine. Hvis du har kopieret nøglen og justeret navnene/stierne, så burde du være i stand til at oprette forbindelse til den ProxyCommandlinje i din ~/.ssh/configfil.

Når du har bekræftet, at det virker, kan vi genstarte sshdpå en server:

sudo rcctl restart sshd

Og det er det! Nu har du fuldstændig elimineret én stor angrebsvektor, og du har en tjeneste mindre, der lytter på en offentlig grænseflade. Dine SSH-forbindelser skulle nu se ud til at være kommet fra localhost, for eksempel:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

En fordel ved at bruge Vultr er, at hver Vultr VPS tilbyder en fin online VNC-type klient tilgængelig, som vi kan bruge i tilfælde af, at vi ved et uheld låser os selv ude. Eksperimenter væk!