Kuidas SSH-d veelgi kaitsta pordi koputava järjestusega Ubuntu 18.04-s

Sissejuhatus

Lisaks SSH-i vaikepordi muutmisele ja autentimiseks võtmepaari kasutamisele saab pordi koputamist kasutada teie SSH-serveri täiendavaks kaitsmiseks (või täpsemalt öeldes varjamiseks). See toimib, keeldudes ühenduse loomisest teie SSH-võrgupordiga. See varjab sisuliselt tõsiasja, et kasutate SSH-serverit seni, kuni eelmääratletud portidega tehakse ühenduse katsete jada. Väga turvaline ja lihtsalt rakendatav pordi koputamine on üks parimaid viise oma serveri kaitsmiseks pahatahtlike SSH-ühenduskatsete eest.

Eeltingimused

• Vultri server, milles töötab Ubuntu 18.04.
• Sudo juurdepääs.

Kui te pole juurkasutajana sisse logitud, hankige enne allolevate toimingute sooritamist ajutine juurkasutaja, käivitades sudo -ija sisestades oma parooli. Teise võimalusena võite lisada sudoselles artiklis näidatud käsud.

1. samm: Knockd installimine

Knockd on pakett, mida kasutatakse koos iptablesiga teie serveris pordi koputamise rakendamiseks. Nõutav iptables-persistenton ka pakett.

apt update
apt install -y knockd iptables-persistent

2. samm: iptablesi reeglid

Käivitage järgmised käsud järjekorras:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Need käsud teevad vastavalt järgmist:

• Käsutage iptablesi olemasolevaid ühendusi elus hoidma.
• Paluge iptablesil katkestada igasugune ühendus pordiga tcp/22 (kui teie SSH-deemon kuulab teist porti kui 22, peaksite ülaltoodud käsku vastavalt muutma.)
• Salvestage need kaks reeglit, et need kehtiksid ka pärast taaskäivitamist.

3. samm: Knockdi konfiguratsioon

Avage fail oma valitud tekstiredaktoriga /etc/knockd.conf.

Näete järgmist.

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Peaksite muutma pordide järjestust (valige ülaltpoolt pordinumbrid, 1024mida teised teenused ei kasuta) ja salvestage see turvaliselt. Seda kombinatsiooni tuleks käsitleda kui parooli. Kui unustate, kaotate juurdepääsu SSH-le. Viitame sellele uuele järjestusele kui x,y,z.

seq-timeoutrida on sekundite arv Knockd ootab klient täitma sadama-koputab jada. See oleks hea mõte muuta see millekski suuremaks, eriti kui pordi koputamine toimub käsitsi. Väiksem ajalõpu väärtus on aga turvalisem. Selle muutmine 15on soovitatav, kuna selles õpetuses koputame käsitsi.

Muutke valitud portide avamise järjestust:

[openSSH]
sequence    = x,y,z

Muutke käsu väärtus järgmiseks:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Nüüd muutke vastavalt sulgemisjärjestust:

[closeSSH]
sequence    = z,y,x

Salvestage muudatused ja väljuge ning avage fail /etc/default/knockd:

• Vahetage START_KNOCKD=0koos START_KNOCKD=1.
• Lisage faili lõppu järgmine rida: KNOCKD_OPTS="-i ens3"(asendage ens3oma avaliku võrguliidese nimega, kui see erineb.)
• Salvesta ja välju.

Nüüd käivitage Knockd:

systemctl start knockd

Kui te nüüd lahti oma server, peate koputama sadamad x, yja zuuesti ühendada.

4. samm: testimine

Nüüd ei saa te oma SSH-serveriga ühendust luua.

Pordi koputamist saate testida Telneti kliendiga.

Windowsi kasutajad saavad käivitada telneti käsurealt. Kui telnet pole installitud, avage juhtpaneeli jaotis "Programmid" ja leidke seejärel "Windowsi funktsioonide sisse- või väljalülitamine". Leidke funktsioonide paneelil "Telneti klient" ja lubage see.

Tippige terminali/käsureale järgmine tekst:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Tehke seda kõike viieteistkümne sekundiga, kuna see on konfiguratsioonis kehtestatud piirang. Nüüd proovige SSH kaudu oma serveriga ühendust luua. See on juurdepääsetav.

SSH-serverile juurdepääsu sulgemiseks käivitage käsud vastupidises järjekorras.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Järeldus

Parim osa pordi koputamise kasutamisest on see, et kui see on konfigureeritud koos privaatvõtme autentimisega, pole praktiliselt mingit võimalust, et keegi teine ​​pääseks sisse, välja arvatud juhul, kui keegi teadis teie pordi koputamise järjestust ja omas teie privaatvõtit.