Δεδομένου ότι η πρόσβαση SSH είναι το πιο σημαντικό σημείο εισόδου για τη διαχείριση του διακομιστή σας, έχει γίνει ένας ευρέως χρησιμοποιούμενος φορέας επίθεσης.
Τα βασικά βήματα για την ασφάλεια του SSH περιλαμβάνουν: απενεργοποίηση της πρόσβασης root, απενεργοποίηση του ελέγχου ταυτότητας με κωδικό πρόσβασης (και χρήση κλειδιών αντ' αυτού) και αλλαγή θυρών (λίγη σχέση με την ασφάλεια εκτός από την ελαχιστοποίηση των κοινών σαρωτών θυρών και των ανεπιθύμητων αρχείων καταγραφής).
Το επόμενο βήμα θα ήταν μια λύση τείχους προστασίας PF με παρακολούθηση σύνδεσης. Αυτή η λύση θα διαχειριζόταν τις καταστάσεις σύνδεσης και θα αποκλείει κάθε IP που έχει πάρα πολλές συνδέσεις. Αυτό λειτουργεί εξαιρετικά και είναι πολύ εύκολο να γίνει με το PF, αλλά ο δαίμονας SSH εξακολουθεί να είναι εκτεθειμένος στο Διαδίκτυο.
Τι θα λέγατε να κάνετε το SSH εντελώς απρόσιτο από το εξωτερικό; Εδώ μπαίνει το spiped . Από την αρχική σελίδα:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Εξαιρετική! Ευτυχώς για εμάς, έχει ένα υψηλής ποιότητας πακέτο OpenBSD που κάνει όλη την προετοιμασία για εμάς, οπότε μπορούμε να ξεκινήσουμε εγκαθιστώντας το:
sudo pkg_add spiped
Αυτό εγκαθιστά επίσης ένα ωραίο σενάριο έναρξης για εμάς, ώστε να μπορούμε να το ενεργοποιήσουμε:
sudo rcctl enable spiped
Και τέλος ξεκινήστε το:
sudo rcctl start spiped
Το σενάριο init διασφαλίζει ότι το κλειδί έχει δημιουργηθεί για εμάς (το οποίο θα χρειαστούμε σε ένα τοπικό μηχάνημα σε λίγο).
Αυτό που πρέπει να κάνουμε τώρα, είναι να απενεργοποιήσουμε την sshdακρόαση σε δημόσια διεύθυνση, να αποκλείσουμε τη θύρα 22 και να επιτρέψουμε τη θύρα 8022 (η οποία χρησιμοποιείται από προεπιλογή στο σενάριο spipped init).
Ανοίξτε το /etc/ssh/sshd_configαρχείο και αλλάξτε (και αποσχολιάστε) τη ListenAddressγραμμή για ανάγνωση 127.0.0.1:
ListenAddress 127.0.0.1
Εάν χρησιμοποιείτε κανόνες PF για αποκλεισμό θυρών, φροντίστε να περάσετε τη θύρα 8022 (και μπορείτε να αφήσετε αποκλεισμένη τη θύρα 22), π.χ.
pass in on egress proto tcp from any to any port 8022
Φροντίστε να φορτώσετε ξανά τους κανόνες για να το κάνετε ενεργό:
sudo pfctl -f /etc/pf.conf
Τώρα το μόνο που χρειαζόμαστε είναι να αντιγράψουμε το δημιουργημένο spiped key ( /etc/spiped/spiped.key) από τον διακομιστή σε ένα τοπικό μηχάνημα και να προσαρμόσουμε τη διαμόρφωση του SSH μας, κάτι σύμφωνα με τις ακόλουθες γραμμές:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Πρέπει να έχετε spipe/spipedεγκαταστήσει και σε τοπικό μηχάνημα, προφανώς. Εάν έχετε αντιγράψει το κλειδί και έχετε προσαρμόσει τα ονόματα/διαδρομές, τότε θα πρέπει να μπορείτε να συνδεθείτε με αυτήν τη ProxyCommandγραμμή στο ~/.ssh/configαρχείο σας .
Αφού επιβεβαιώσετε ότι λειτουργεί, μπορούμε να κάνουμε επανεκκίνηση sshdσε έναν διακομιστή:
sudo rcctl restart sshd
Και τέλος! Τώρα έχετε εξαλείψει εντελώς ένα μεγάλο διάνυσμα επίθεσης και έχετε μια λιγότερη υπηρεσία ακρόασης σε μια δημόσια διεπαφή. Οι συνδέσεις σας SSH θα πρέπει τώρα να φαίνεται ότι προέρχονται από τον localhost, για παράδειγμα:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Ένα πλεονέκτημα της χρήσης του Vultr είναι ότι κάθε Vultr VPS προσφέρει έναν ωραίο διαδικτυακό πελάτη τύπου VNC διαθέσιμο, τον οποίο μπορούμε να χρησιμοποιήσουμε σε περίπτωση που κλειδωθούμε κατά λάθος. Πειραματιστείτε μακριά!
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Tiny Tiny RSS Reader είναι ένα δωρεάν και ανοιχτού κώδικα πρόγραμμα ανάγνωσης και συγκέντρωσης ειδήσεων (RSS/Atom) που φιλοξενείται από τον εαυτό του και έχει σχεδιαστεί για
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Wiki.js είναι μια δωρεάν και ανοιχτού κώδικα, σύγχρονη εφαρμογή wiki που βασίζεται σε Node.js, MongoDB, Git και Markdown. Ο πηγαίος κώδικας του Wiki.js είναι δημόσιος
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Pagekit 1.0 CMS είναι ένα όμορφο, αρθρωτό, επεκτάσιμο και ελαφρύ, δωρεάν και ανοιχτού κώδικα Σύστημα Διαχείρισης Περιεχομένου (CMS) με
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το MODX Revolution είναι ένα γρήγορο, ευέλικτο, επεκτάσιμο, ανοιχτού κώδικα, εταιρικό Σύστημα Διαχείρισης Περιεχομένου (CMS) γραμμένο σε PHP. Αυτο εγω
Αυτό το άρθρο σας καθοδηγεί στη ρύθμιση του OpenBSD 5.5 (64-bit) σε KVM με Vultr VPS. Βήμα 1. Συνδεθείτε στον πίνακα ελέγχου Vultr. Βήμα 2. Κάντε κλικ στο DEPLOY
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το osTicket είναι ένα σύστημα έκδοσης εισιτηρίων υποστήριξης πελατών ανοιχτού κώδικα. Ο πηγαίος κώδικας του osTicket φιλοξενείται δημόσια στο Github. Σε αυτό το σεμινάριο
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Flarum είναι ένα δωρεάν και ανοιχτού κώδικα λογισμικό φόρουμ επόμενης γενιάς που κάνει τη διαδικτυακή συζήτηση διασκεδαστική. Ο πηγαίος κώδικας Flarum φιλοξενείται o
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το TLS 1.3 είναι μια έκδοση του πρωτοκόλλου Transport Layer Security (TLS) που δημοσιεύτηκε το 2018 ως προτεινόμενο πρότυπο στο RFC 8446
Εισαγωγή Το WordPress είναι το κυρίαρχο σύστημα διαχείρισης περιεχομένου στο διαδίκτυο. Παρέχει τα πάντα, από ιστολόγια έως πολύπλοκους ιστότοπους με δυναμικό περιεχόμενο
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Subrion 4.1 CMS είναι ένα ισχυρό και ευέλικτο Σύστημα Διαχείρισης Περιεχομένου ανοιχτού κώδικα (CMS) που προσφέρει ένα διαισθητικό και σαφές περιεχόμενο
Αυτό το σεμινάριο θα σας δείξει πώς να διαμορφώσετε μια υπηρεσία DNS που είναι εύκολη στη συντήρηση, εύκολη στη διαμόρφωση και που είναι γενικά πιο ασφαλής από τον κλασικό BIN
Μια στοίβα FEMP, η οποία είναι συγκρίσιμη με μια στοίβα LEMP στο Linux, είναι μια συλλογή λογισμικού ανοιχτού κώδικα που συνήθως εγκαθίσταται μαζί για να ενεργοποιήσει ένα FreeBS
Το MongoDB είναι μια βάση δεδομένων NoSQL παγκόσμιας κλάσης που χρησιμοποιείται συχνά σε νεότερες διαδικτυακές εφαρμογές. Παρέχει ερωτήματα υψηλής απόδοσης, διαμοιρασμό και αναπαραγωγή
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Η Monica είναι ένα σύστημα διαχείρισης προσωπικών σχέσεων ανοιχτού κώδικα. Σκεφτείτε το ως ένα CRM (ένα δημοφιλές εργαλείο που χρησιμοποιείται από τις ομάδες πωλήσεων στο th
Εισαγωγή Αυτό το σεμινάριο παρουσιάζει το OpenBSD ως λύση ηλεκτρονικού εμπορίου χρησιμοποιώντας PrestaShop και Apache. Απαιτείται Apache επειδή το PrestaShop έχει πολύπλοκο UR
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Fork είναι ένα CMS ανοιχτού κώδικα γραμμένο σε PHP. Ο πηγαίος κώδικας του Forks φιλοξενείται στο GitHub. Αυτός ο οδηγός θα σας δείξει πώς να εγκαταστήσετε το Fork CM
Χρησιμοποιώντας ένα διαφορετικό σύστημα; Το Directus 6.4 CMS είναι ένα ισχυρό και ευέλικτο, δωρεάν και ανοιχτού κώδικα Headless Content Management System (CMS) που παρέχει στους προγραμματιστές
Οι διακομιστές VPS στοχοποιούνται συχνά από εισβολείς. Ένας κοινός τύπος επίθεσης εμφανίζεται στα αρχεία καταγραφής του συστήματος καθώς εκατοντάδες μη εξουσιοδοτημένες προσπάθειες σύνδεσης ssh. Εγκαθιστώ
Εισαγωγή Το OpenBSD 5.6 παρουσίασε έναν νέο δαίμονα που ονομάζεται httpd, ο οποίος υποστηρίζει CGI (μέσω FastCGI) και TLS. Δεν απαιτείται πρόσθετη εργασία για την εγκατάσταση του νέου http
Αυτό το σεμινάριο θα σας δείξει πώς να εγκαταστήσετε το groupware iRedMail σε μια νέα εγκατάσταση του FreeBSD 10. Θα πρέπει να χρησιμοποιήσετε έναν διακομιστή με τουλάχιστον ένα gigabyte o
Η Τεχνητή Νοημοσύνη δεν είναι στο μέλλον, είναι εδώ ακριβώς στο παρόν Σε αυτό το blog Διαβάστε πώς οι εφαρμογές Τεχνητής Νοημοσύνης έχουν επηρεάσει διάφορους τομείς.
Είστε επίσης θύμα των επιθέσεων DDOS και έχετε μπερδευτεί σχετικά με τις μεθόδους πρόληψης; Διαβάστε αυτό το άρθρο για να λύσετε τις απορίες σας.
Μπορεί να έχετε ακούσει ότι οι χάκερ κερδίζουν πολλά χρήματα, αλλά έχετε αναρωτηθεί ποτέ πώς κερδίζουν τέτοια χρήματα; ας συζητήσουμε.
Θέλετε να δείτε επαναστατικές εφευρέσεις της Google και πώς αυτές οι εφευρέσεις άλλαξαν τη ζωή κάθε ανθρώπου σήμερα; Στη συνέχεια, διαβάστε στο blog για να δείτε τις εφευρέσεις της Google.
Η ιδέα των αυτοκινούμενων αυτοκινήτων να βγαίνουν στους δρόμους με τη βοήθεια της τεχνητής νοημοσύνης είναι ένα όνειρο που έχουμε εδώ και καιρό. Όμως, παρά τις πολλές υποσχέσεις, δεν φαίνονται πουθενά. Διαβάστε αυτό το blog για να μάθετε περισσότερα…
Καθώς η Επιστήμη εξελίσσεται με γρήγορους ρυθμούς, αναλαμβάνοντας πολλές από τις προσπάθειές μας, αυξάνονται και οι κίνδυνοι να υποβάλλουμε τον εαυτό μας σε μια ανεξήγητη Ιδιότητα. Διαβάστε τι σημαίνει η μοναδικότητα για εμάς.
Οι μέθοδοι αποθήκευσης των δεδομένων εξελίσσονται μπορεί να είναι από τη γέννηση των Δεδομένων. Αυτό το ιστολόγιο καλύπτει την εξέλιξη της αποθήκευσης δεδομένων με βάση ένα infographic.
Διαβάστε το ιστολόγιο για να μάθετε διαφορετικά επίπεδα στην Αρχιτεκτονική Μεγάλων Δεδομένων και τις λειτουργίες τους με τον απλούστερο τρόπο.
Σε αυτόν τον ψηφιακό κόσμο, οι έξυπνες οικιακές συσκευές έχουν γίνει κρίσιμο μέρος της ζωής. Ακολουθούν μερικά εκπληκτικά οφέλη των έξυπνων οικιακών συσκευών σχετικά με το πώς κάνουν τη ζωή μας να αξίζει και να απλοποιείται.
Πρόσφατα, η Apple κυκλοφόρησε το macOS Catalina 10.15.4 μια συμπληρωματική ενημέρωση για την επιδιόρθωση προβλημάτων, αλλά φαίνεται ότι η ενημέρωση προκαλεί περισσότερα προβλήματα που οδηγούν σε bricking των μηχανών mac. Διαβάστε αυτό το άρθρο για να μάθετε περισσότερα
