Kaitske SSH-juurdepääsu, kasutades Spiped On OpenBSD-d

Kuna SSH-juurdepääs on teie serveri haldamisel kõige olulisem sisenemispunkt, on sellest saanud laialdaselt kasutatav ründevektor.

SSH kaitsmise põhitoimingud hõlmavad järgmist: juurjuurdepääsu keelamine, parooli autentimise täielik väljalülitamine (ja selle asemel võtmete kasutamine) ja portide muutmine (turbega on vähe pistmist, välja arvatud tavaliste pordiskannerite ja logi rämpsposti minimeerimine).

Järgmine samm oleks ühenduse jälgimisega PF tulemüüri lahendus. See lahendus haldaks ühenduse olekuid ja blokeeriks kõik IP-d, millel on liiga palju ühendusi. See töötab suurepäraselt ja seda on PF-iga väga lihtne teha, kuid SSH-deemon on endiselt avatud Internetile.

Kuidas teha SSH väljastpoolt täiesti kättesaamatuks? Siin tuleb spiped sisse. Avalehelt:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Suurepärane! Meie õnneks on sellel kvaliteetne OpenBSD pakett, mis teeb meie eest kõik ettevalmistustööd, nii et saame alustada selle installimisega:

sudo pkg_add spiped

See installib meie jaoks ka kena init-skripti, et saaksime selle lubada:

sudo rcctl enable spiped

Ja lõpuks alustage:

sudo rcctl start spiped

Init-skript tagab, et võti luuakse meie jaoks (mida me mõne aja pärast kohalikus masinas vajame).

Peame nüüd keelama sshdavalikul aadressil kuulamise, blokeerima pordi 22 ja lubama pordi 8022 (mida vaikimisi kasutatakse spiped init skriptis).

Avage /etc/ssh/sshd_configfail ja muutke (ja eemaldage kommentaarid) ListenAddresslugemiseks 127.0.0.1:

ListenAddress 127.0.0.1

Kui kasutate pordi blokeerimiseks PF-reegleid, läbige kindlasti port 8022 (ja võite pordi 22 blokeerituks jätta), nt:

pass in on egress proto tcp from any to any port 8022

Selle aktiivseks muutmiseks laadige reeglid kindlasti uuesti:

sudo pfctl -f /etc/pf.conf

Nüüd on meil vaja ainult genereeritud spiped-võti ( ) serverist kohalikku masinasse kopeerida/etc/spiped/spiped.key ja kohandada meie SSH-i konfiguratsiooni järgmiselt:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedIlmselgelt peab teil olema installitud ka kohalik arvuti. Kui olete võtme kopeerinud ja nimesid/teid kohandanud, peaksite saama ühenduse luua ProxyCommandoma ~/.ssh/configfaili selle reaga .

Kui olete kinnitanud, et see töötab, saame sshdserveris taaskäivitada :

sudo rcctl restart sshd

Ja see ongi kõik! Nüüd olete täielikult kõrvaldanud ühe suure rünnakuvektori ja teil on üks teenus vähem, mis kuulab avalikul liidesel. Teie SSH-ühendused peaksid nüüd näima olevat pärit kohalikust hostist, näiteks:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultri kasutamise eeliseks on see, et iga Vultr VPS pakub kena veebipõhist VNC-tüüpi klienti, mida saame kasutada juhuks, kui me end kogemata välja lukustame. Katsetage ära!