Εκτός από την αλλαγή της προεπιλεγμένης θύρας για SSH και τη χρήση ενός ζεύγους κλειδιών για έλεγχο ταυτότητας, το port knocking μπορεί να χρησιμοποιηθεί για την περαιτέρω ασφάλεια (ή ακριβέστερα, την απόκρυψη) του διακομιστή SSH σας. Λειτουργεί με την άρνηση των συνδέσεων στη θύρα δικτύου SSH. Αυτό ουσιαστικά αποκρύπτει το γεγονός ότι εκτελείτε έναν διακομιστή SSH έως ότου γίνει μια σειρά από προσπάθειες σύνδεσης σε προκαθορισμένες θύρες. Πολύ ασφαλές και απλό στην εφαρμογή, το port knocking είναι ένας από τους καλύτερους τρόπους προστασίας του διακομιστή σας από κακόβουλες προσπάθειες σύνδεσης SSH.
Προτού ακολουθήσετε τα παρακάτω βήματα, εάν δεν έχετε συνδεθεί ως χρήστης root, αποκτήστε ένα προσωρινό κέλυφος root εκτελώντας sudo -iκαι εισάγοντας τον κωδικό πρόσβασής σας. Εναλλακτικά, μπορείτε να ακολουθήσετε sudoτις εντολές που εμφανίζονται σε αυτό το άρθρο.
Το Knockd είναι το πακέτο που χρησιμοποιείται σε συνδυασμό με το iptables για την υλοποίηση του port knocking στον διακομιστή σας. iptables-persistentΑπαιτείται επίσης το πακέτο ' '.
apt update
apt install -y knockd iptables-persistent
Εκτελέστε τις παρακάτω εντολές με τη σειρά:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4
Αυτές οι εντολές θα κάνουν τα εξής, αντίστοιχα:
Χρησιμοποιώντας ένα πρόγραμμα επεξεργασίας κειμένου της επιλογής σας, ανοίξτε το αρχείο /etc/knockd.conf.
Θα δείτε τα εξής:
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
Θα πρέπει να αλλάξετε τη σειρά των θυρών (επιλέξτε τους αριθμούς θυρών παραπάνω 1024και που δεν χρησιμοποιούνται από άλλες υπηρεσίες) και να τις αποθηκεύσετε με ασφάλεια. Αυτός ο συνδυασμός πρέπει να αντιμετωπίζεται σαν κωδικός πρόσβασης. Εάν το ξεχάσετε, θα χάσετε την πρόσβαση στο SSH. Θα αναφερόμαστε σε αυτή τη νέα ακολουθία ως x,y,z.
η seq-timeoutγραμμή είναι ο αριθμός των δευτερολέπτων που θα περιμένει το Knockd μέχρι ο πελάτης να ολοκληρώσει την ακολουθία του port-knocking. Θα ήταν καλή ιδέα να το αλλάξετε σε κάτι μεγαλύτερο, ειδικά αν το port-knocking θα γίνει χειροκίνητα. Ωστόσο, μια μικρότερη τιμή χρονικού ορίου είναι ασφαλέστερη. 15Συνιστάται να το αλλάξετε σε , καθώς θα χτυπήσουμε χειροκίνητα σε αυτό το σεμινάριο.
Αλλάξτε τη σειρά ανοίγματος στις θύρες που έχετε επιλέξει:
[openSSH]
sequence = x,y,z
Αλλάξτε την τιμή της εντολής ως εξής:
command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
Τώρα αλλάξτε τη σειρά κλεισίματος ανάλογα:
[closeSSH]
sequence = z,y,x
Αποθηκεύστε τις αλλαγές σας και βγείτε και ανοίξτε το αρχείο /etc/default/knockd:
START_KNOCKD=0με START_KNOCKD=1.KNOCKD_OPTS="-i ens3"(αντικαταστήστε ens3με το όνομα της διεπαφής του δημόσιου δικτύου σας, εάν διαφέρει.)Τώρα ξεκινήστε το Knockd:
systemctl start knockd
Αν τώρα αποσυνδεθείτε από το διακομιστή σας, θα πρέπει να χτυπήσει στις θύρες x, yκαι zνα συνδεθείτε ξανά.
Τώρα δεν θα μπορείτε να συνδεθείτε στον διακομιστή SSH σας.
Μπορείτε να δοκιμάσετε το knocking της θύρας με έναν πελάτη telnet.
Οι χρήστες των Windows μπορούν να ξεκινήσουν το telnet από τη γραμμή εντολών. Εάν το telnet δεν είναι εγκατεστημένο, μεταβείτε στην ενότητα "Προγράμματα" του Πίνακα Ελέγχου και, στη συνέχεια, εντοπίστε το "Ενεργοποίηση ή απενεργοποίηση των δυνατοτήτων των Windows". Στον πίνακα δυνατοτήτων, εντοπίστε το "Telnet Client" και ενεργοποιήστε το.
Στο τερματικό/γραμμή εντολών πληκτρολογήστε τα εξής:
telnet youripaddress x
telnet youripaddress y
telnet youripaddress z
Κάντε όλα αυτά σε δεκαπέντε δευτερόλεπτα, καθώς αυτό είναι το όριο που επιβάλλεται στη διαμόρφωση. Τώρα, προσπαθήστε να συνδεθείτε στον διακομιστή σας μέσω SSH. Θα είναι προσβάσιμο.
Για να κλείσετε την πρόσβαση στον διακομιστή SSH, εκτελέστε τις εντολές με αντίστροφη σειρά.
telnet youripaddress z
telnet youripaddress y
telnet youripaddress z
Το καλύτερο μέρος της χρήσης του port knocking είναι ότι εάν έχει ρυθμιστεί παράλληλα με τον έλεγχο ταυτότητας ιδιωτικού κλειδιού, δεν υπάρχει ουσιαστικά καμία πιθανότητα να μπει κάποιος άλλος, εκτός εάν κάποιος γνώριζε τη σειρά χτυπήματος της θύρας και είχε το ιδιωτικό σας κλειδί.
Η Τεχνητή Νοημοσύνη δεν είναι στο μέλλον, είναι εδώ ακριβώς στο παρόν Σε αυτό το blog Διαβάστε πώς οι εφαρμογές Τεχνητής Νοημοσύνης έχουν επηρεάσει διάφορους τομείς.
Είστε επίσης θύμα των επιθέσεων DDOS και έχετε μπερδευτεί σχετικά με τις μεθόδους πρόληψης; Διαβάστε αυτό το άρθρο για να λύσετε τις απορίες σας.
Μπορεί να έχετε ακούσει ότι οι χάκερ κερδίζουν πολλά χρήματα, αλλά έχετε αναρωτηθεί ποτέ πώς κερδίζουν τέτοια χρήματα; ας συζητήσουμε.
Θέλετε να δείτε επαναστατικές εφευρέσεις της Google και πώς αυτές οι εφευρέσεις άλλαξαν τη ζωή κάθε ανθρώπου σήμερα; Στη συνέχεια, διαβάστε στο blog για να δείτε τις εφευρέσεις της Google.
Η ιδέα των αυτοκινούμενων αυτοκινήτων να βγαίνουν στους δρόμους με τη βοήθεια της τεχνητής νοημοσύνης είναι ένα όνειρο που έχουμε εδώ και καιρό. Όμως, παρά τις πολλές υποσχέσεις, δεν φαίνονται πουθενά. Διαβάστε αυτό το blog για να μάθετε περισσότερα…
Καθώς η Επιστήμη εξελίσσεται με γρήγορους ρυθμούς, αναλαμβάνοντας πολλές από τις προσπάθειές μας, αυξάνονται και οι κίνδυνοι να υποβάλλουμε τον εαυτό μας σε μια ανεξήγητη Ιδιότητα. Διαβάστε τι σημαίνει η μοναδικότητα για εμάς.
Διαβάστε το ιστολόγιο για να μάθετε διαφορετικά επίπεδα στην Αρχιτεκτονική Μεγάλων Δεδομένων και τις λειτουργίες τους με τον απλούστερο τρόπο.
Οι μέθοδοι αποθήκευσης των δεδομένων εξελίσσονται μπορεί να είναι από τη γέννηση των Δεδομένων. Αυτό το ιστολόγιο καλύπτει την εξέλιξη της αποθήκευσης δεδομένων με βάση ένα infographic.
Σε αυτόν τον ψηφιακό κόσμο, οι έξυπνες οικιακές συσκευές έχουν γίνει κρίσιμο μέρος της ζωής. Ακολουθούν μερικά εκπληκτικά οφέλη των έξυπνων οικιακών συσκευών σχετικά με το πώς κάνουν τη ζωή μας να αξίζει και να απλοποιείται.
Πρόσφατα, η Apple κυκλοφόρησε το macOS Catalina 10.15.4 μια συμπληρωματική ενημέρωση για την επιδιόρθωση προβλημάτων, αλλά φαίνεται ότι η ενημέρωση προκαλεί περισσότερα προβλήματα που οδηγούν σε bricking των μηχανών mac. Διαβάστε αυτό το άρθρο για να μάθετε περισσότερα
