Portti koputtaa Debianissa

Tähän mennessä olet luultavasti vaihtanut oletus-SSH-porttisi. Hakkerit voivat kuitenkin helposti skannata porttialueita löytääkseen kyseisen portin – mutta portin koputuksen avulla voit huijata porttiskannereita. Se toimii siten, että SSH-asiakkaasi yrittää muodostaa yhteyden porttien sarjaan, jotka kaikki kieltävät yhteyden, mutta vapauttavat tietyn portin, joka sallii yhteyden. Erittäin turvallinen ja helppo asentaa. Portin koputus on yksi parhaista tavoista suojata palvelintasi luvattomilta SSH-yhteysyrityksiltä.

Tämä artikkeli opettaa sinulle, kuinka portin koputus asetetaan. Se on kirjoitettu Debian 7:lle (Wheezy), mutta se voi toimia myös muissa Debianin ja Ubuntun versioissa.

Vaihe 1: Asenna tarvittavat paketit

Oletan, että olet jo asentanut SSH-palvelimen. Jos et ole, suorita seuraavat komennot pääkäyttäjänä:

apt-get update
apt-get install openssh-server
apt-get install knockd

Asenna sitten iptables.

apt-get install iptables

Asennettavia paketteja ei ole paljon – siksi se on täydellinen ratkaisu suojaamaan raa'alta voimalta, mutta se on myös helppo asentaa.

Vaihe 2: Määritä iptables käyttämään tätä ominaisuutta

Koska SSH-porttisi sulkeutuu yhteyden muodostamisen jälkeen, meidän on varmistettava, että palvelin sallii sinun pysyä yhteydessä ja estää muut yhteysyritykset. Suorita nämä komennot palvelimellasi pääkäyttäjänä.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Tämä sallii olemassa olevien yhteyksien säilymisen, mutta estää kaiken muun SSH-portiltasi.

Määritetään nyt knockd.

Tässä tapahtuu taika - voit valita, mitä portteja on ensin koputettava. Avaa tiedoston tekstieditori /etc/knockd.conf.

nano /etc/knockd.conf

Siellä on osio, joka näyttää seuraavalta lohkolta.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Tässä osiossa voit muuttaa koputettavien porttien järjestystä. Pysymme toistaiseksi porteissa 7000, 8000 ja 9000. Muuta seq_timeout = 5arvoksi seq_timeout = 10, ja closeSSHtee sama osion kohdalla seq_timeout. closeSSHOsassa on myös sekvenssirivi, jota sinun on myös muokattava.

Meidän on otettava knockd käyttöön, joten avaa editori uudelleen pääkäyttäjänä.

nano /etc/default/knockd

Muuta osion 0 START_KNOCKDarvoksi 1, tallenna ja poistu.

Aloita nyt koputtaminen:

service knockd start

Loistava! Kaikki on asennettu. Jos katkaiset yhteyden palvelimeen, sinun täytyy koputtaa portit 7000, 8000 ja 9000 muodostaaksesi yhteyden uudelleen.

Vaihe 3: Kokeillaan

Jos kaikki oli asennettu oikein, sinun ei pitäisi pystyä muodostamaan yhteyttä SSH-palvelimeesi.

Voit testata portin koputusta telnet-asiakkaalla.

Windows-käyttäjät voivat käynnistää telnetin komentokehotteesta. Jos telnetiä ei ole asennettu, siirry Ohjauspaneelin "Ohjelmat"-osioon ja etsi sitten "Ota Windowsin ominaisuudet käyttöön tai poista ne käytöstä". Etsi ominaisuuspaneelista "Telnet Client" ja ota se käyttöön.

Kirjoita päätteeseen/komentokehotteeseen:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Tee tämä kaikki kymmenessä sekunnissa, koska se on kokoonpanossa asetettu raja. Yritä nyt muodostaa yhteys palvelimeesi SSH:n kautta. Se on saatavilla.

Sulje SSH-palvelin suorittamalla komennot käänteisessä järjestyksessä.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Johtopäätös

Parasta portin koputuksen käytössä on, että jos se konfiguroidaan yksityisen avaimen todennuksen rinnalla, ei ole käytännössä mitään mahdollisuutta, että joku muu pääsisi sisään, ellei joku tiedä portteja ja yksityistä avainta.