SSH:n suojaaminen edelleen porttia koputtavalla sekvenssillä Ubuntu 18.04:ssä

Johdanto

SSH-oletusportin vaihtamisen ja avainparin käyttämisen todentamiseen lisäksi portin koputusta voidaan käyttää SSH-palvelimen suojaamiseen (tai tarkemmin sanottuna peittämiseen). Se toimii kieltäytymällä muodostamasta yhteyksiä SSH-verkkoporttiin. Tämä pohjimmiltaan piilottaa sen tosiasian, että käytät SSH-palvelinta, kunnes muodostetaan sarja yhteysyrityksiä ennalta määritettyihin portteihin. Erittäin turvallinen ja helppokäyttöinen porttikoputus on yksi parhaista tavoista suojata palvelintasi haitallisilta SSH-yhteysyrityksiltä.

Edellytykset

• Vultr-palvelin, jossa on Ubuntu 18.04.
• Sudo pääsy.

Jos et ole kirjautunut pääkäyttäjänä ennen alla olevien vaiheiden suorittamista, hanki väliaikainen root-kuori suorittamalla sudo -ija antamalla salasanasi. Vaihtoehtoisesti voit sudolisätä tässä artikkelissa näytetyt komennot.

Vaihe 1: Knockd-asennus

Knockd on paketti, jota käytetään yhdessä iptablesin kanssa portin koputuksen toteuttamiseen palvelimellasi. The ' iptables-persistent' on myös tarpeen.

apt update
apt install -y knockd iptables-persistent

Vaihe 2: iptables-säännöt

Suorita seuraavat komennot järjestyksessä:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Nämä komennot tekevät vastaavasti seuraavaa:

• Ohjeita iptablesia pitämään olemassa olevat yhteydet elossa.
• Pyydä iptablesia katkaisemaan yhteys porttiin tcp/22 (jos SSH-demonisi kuuntelee muuta porttia kuin 22, sinun tulee muokata yllä olevaa komentoa vastaavasti.)
• Tallenna nämä kaksi sääntöä, jotta ne pysyvät voimassa uudelleenkäynnistyksen jälkeen.

Vaihe 3: Knockd-määritys

Avaa tiedosto valitsemallasi tekstieditorilla /etc/knockd.conf.

Näet seuraavat asiat:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Sinun tulee muuttaa porttien järjestystä (valitse yllä olevat porttinumerot, 1024jotka eivät ole muiden palveluiden käytössä) ja tallenna se turvallisesti. Tätä yhdistelmää tulee käsitellä salasanana. Jos unohdat, menetät pääsyn SSH:han. Tulemme viittaamaan tähän uuteen sekvenssiin nimellä x,y,z.

seq-timeoutlinja on monta sekuntia Knockd odottaa asiakkaan loppuun portti-nakutus sekvenssin. Tämä olisi hyvä idea vaihtaa johonkin suurempaan, varsinkin jos portin koputus tehdään manuaalisesti. Pienempi aikakatkaisuarvo on kuitenkin turvallisempi. Sen vaihtaminen arvoon 15on suositeltavaa, koska koputamme tässä opetusohjelmassa manuaalisesti.

Muuta avausjärjestystä valitsemiisi portteihin:

[openSSH]
sequence    = x,y,z

Muuta komennon arvo seuraavaksi:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Muuta nyt sulkemisjärjestystä vastaavasti:

[closeSSH]
sequence    = z,y,x

Tallenna muutokset ja poistu ja avaa tiedosto /etc/default/knockd:

• Korvaa START_KNOCKD=0kanssa START_KNOCKD=1.
• Lisää seuraava rivi tiedoston loppuun: KNOCKD_OPTS="-i ens3"(korvaa ens3julkisen verkkoliittymäsi nimellä, jos se eroaa.)
• Tallenna ja poistu.

Aloita nyt Knockd:

systemctl start knockd

Jos nyt irrottaa palvelimelle, sinun täytyy koputtaa satamiin x, yja zyhdistää uudelleen.

Vaihe 4: Testaus

Et voi nyt muodostaa yhteyttä SSH-palvelimeesi.

Voit testata portin koputusta telnet-asiakkaalla.

Windows-käyttäjät voivat käynnistää telnetin komentokehotteesta. Jos telnetiä ei ole asennettu, siirry Ohjauspaneelin "Ohjelmat"-osioon ja etsi sitten "Ota Windowsin ominaisuudet käyttöön tai poista ne käytöstä". Etsi ominaisuuspaneelista "Telnet Client" ja ota se käyttöön.

Kirjoita terminaaliin/komentokehotteeseen seuraava:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Tee tämä kaikki viidessätoista sekunnissa, koska se on kokoonpanossa asetettu raja. Yritä nyt muodostaa yhteys palvelimeesi SSH:n kautta. Se on saatavilla.

Sulje SSH-palvelimen käyttö suorittamalla komennot käänteisessä järjestyksessä.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Johtopäätös

Parasta portin koputuksen käyttämisessä on, että jos se määritetään yksityisen avaimen todennuksen rinnalla, ei ole käytännössä mitään mahdollisuutta, että joku muu pääsisi sisään, ellei joku tiennyt portin koputusjärjestystäsi ja omistanut yksityisen avaimesi.