Kuna SSH-juurdepääs on teie serveri haldamisel kõige olulisem sisenemispunkt, on sellest saanud laialdaselt kasutatav ründevektor.
SSH kaitsmise põhitoimingud hõlmavad järgmist: juurjuurdepääsu keelamine, parooli autentimise täielik väljalülitamine (ja selle asemel võtmete kasutamine) ja portide muutmine (turbega on vähe pistmist, välja arvatud tavaliste pordiskannerite ja logi rämpsposti minimeerimine).
Järgmine samm oleks ühenduse jälgimisega PF tulemüüri lahendus. See lahendus haldaks ühenduse olekuid ja blokeeriks kõik IP-d, millel on liiga palju ühendusi. See töötab suurepäraselt ja seda on PF-iga väga lihtne teha, kuid SSH-deemon on endiselt avatud Internetile.
Kuidas teha SSH väljastpoolt täiesti kättesaamatuks? Siin tuleb spiped sisse. Avalehelt:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Suurepärane! Meie õnneks on sellel kvaliteetne OpenBSD pakett, mis teeb meie eest kõik ettevalmistustööd, nii et saame alustada selle installimisega:
sudo pkg_add spiped
See installib meie jaoks ka kena init-skripti, et saaksime selle lubada:
sudo rcctl enable spiped
Ja lõpuks alustage:
sudo rcctl start spiped
Init-skript tagab, et võti luuakse meie jaoks (mida me mõne aja pärast kohalikus masinas vajame).
Peame nüüd keelama sshdavalikul aadressil kuulamise, blokeerima pordi 22 ja lubama pordi 8022 (mida vaikimisi kasutatakse spiped init skriptis).
Avage /etc/ssh/sshd_configfail ja muutke (ja eemaldage kommentaarid) ListenAddresslugemiseks 127.0.0.1:
ListenAddress 127.0.0.1
Kui kasutate pordi blokeerimiseks PF-reegleid, läbige kindlasti port 8022 (ja võite pordi 22 blokeerituks jätta), nt:
pass in on egress proto tcp from any to any port 8022
Selle aktiivseks muutmiseks laadige reeglid kindlasti uuesti:
sudo pfctl -f /etc/pf.conf
Nüüd on meil vaja ainult genereeritud spiped-võti ( ) serverist kohalikku masinasse kopeerida/etc/spiped/spiped.key ja kohandada meie SSH-i konfiguratsiooni järgmiselt:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
spipe/spipedIlmselgelt peab teil olema installitud ka kohalik arvuti. Kui olete võtme kopeerinud ja nimesid/teid kohandanud, peaksite saama ühenduse luua ProxyCommandoma ~/.ssh/configfaili selle reaga .
Kui olete kinnitanud, et see töötab, saame sshdserveris taaskäivitada :
sudo rcctl restart sshd
Ja see ongi kõik! Nüüd olete täielikult kõrvaldanud ühe suure rünnakuvektori ja teil on üks teenus vähem, mis kuulab avalikul liidesel. Teie SSH-ühendused peaksid nüüd näima olevat pärit kohalikust hostist, näiteks:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Vultri kasutamise eeliseks on see, et iga Vultr VPS pakub kena veebipõhist VNC-tüüpi klienti, mida saame kasutada juhuks, kui me end kogemata välja lukustame. Katsetage ära!
Kas kasutate teistsugust süsteemi? Tiny Tiny RSS Reader on tasuta ja avatud lähtekoodiga isehostitav veebipõhine uudistevoo (RSS/Atom) lugeja ja koondaja, mis on loodud
Kas kasutate teistsugust süsteemi? Wiki.js on tasuta avatud lähtekoodiga kaasaegne vikirakendus, mis on üles ehitatud Node.js-ile, MongoDB-le, Gitile ja Markdownile. Wiki.js lähtekood on avalik
Kas kasutate teistsugust süsteemi? Pagekit 1.0 CMS on ilus, modulaarne, laiendatav ja kerge, tasuta ja avatud lähtekoodiga sisuhaldussüsteem (CMS).
Kas kasutate teistsugust süsteemi? MODX Revolution on kiire, paindlik, skaleeritav avatud lähtekoodiga ettevõttetasemel sisuhaldussüsteem (CMS), mis on kirjutatud PHP-s. See i
See artikkel juhendab teid OpenBSD 5.5 (64-bitise) seadistamise kaudu KVM-is Vultr VPS-iga. Samm 1. Logige Vultri juhtpaneelile sisse. Samm 2. Klõpsake nuppu DEPLOY
Kas kasutate teistsugust süsteemi? osTicket on avatud lähtekoodiga klienditoe piletimüügisüsteem. osTicketi lähtekoodi majutatakse avalikult Githubis. Selles õpetuses
Kas kasutate teistsugust süsteemi? Flarum on tasuta ja avatud lähtekoodiga järgmise põlvkonna foorumitarkvara, mis muudab veebiarutelu lõbusaks. Flarum lähtekoodi majutatakse o
Kas kasutate teistsugust süsteemi? TLS 1.3 on transpordikihi turvalisuse (TLS) protokolli versioon, mis avaldati 2018. aastal RFC 8446 pakutud standardina.
Sissejuhatus WordPress on Internetis domineeriv sisuhaldussüsteem. See võimaldab kõike alates ajaveebidest kuni keeruliste dünaamilise sisuga veebisaitideni
Kas kasutate teistsugust süsteemi? Subrion 4.1 CMS on võimas ja paindlik avatud lähtekoodiga sisuhaldussüsteem (CMS), mis pakub intuitiivset ja selget sisu
See õpetus näitab teile, kuidas konfigureerida DNS-teenust, mida on lihtne hooldada, lihtne konfigureerida ja mis on üldiselt turvalisem kui klassikaline BIN.
FEMP-pinn, mis on võrreldav LEMP-pinuga Linuxis, on avatud lähtekoodiga tarkvara kogum, mis tavaliselt installitakse koos FreeBS-i lubamiseks.
MongoDB on maailmatasemel NoSQL-i andmebaas, mida kasutatakse sageli uuemates veebirakendustes. See pakub suure jõudlusega päringuid, jagamist ja replikatsiooni
Kas kasutate teistsugust süsteemi? Monica on avatud lähtekoodiga isiklike suhete haldussüsteem. Mõelge sellele kui CRM-ile (populaarne tööriist, mida kasutavad müügimeeskonnad th
Introduction This tutorial demonstrates OpenBSD as an e-commerce solution using PrestaShop and Apache. Apache is required because PrestaShop has complex UR
Kas kasutate teistsugust süsteemi? Fork on avatud lähtekoodiga CMS, mis on kirjutatud PHP-s. Forksi lähtekoodi hostitakse GitHubis. See juhend näitab teile, kuidas Fork CM-i installida
Kas kasutate teistsugust süsteemi? Directus 6.4 CMS on võimas ja paindlik, tasuta ja avatud lähtekoodiga sisuhaldussüsteem (CMS), mis pakub arendajatele
VPS-serverid on sageli sissetungijate sihikule. Levinud ründetüüp kuvatakse süsteemilogides sadade volitamata ssh-i sisselogimiskatsetena. Seadistan
Sissejuhatus OpenBSD 5.6 tutvustas uut deemonit nimega httpd, mis toetab CGI-d (FastCGI kaudu) ja TLS-i. Uue http installimiseks pole vaja täiendavat tööd teha
See õpetus näitab teile, kuidas installida grupitöö iRedMail värskele FreeBSD 10 installile. Peaksite kasutama serverit, millel on vähemalt üks gigabaid
Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.
Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.
Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.
Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.
Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…
Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.
Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.
Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.
Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.
Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit
