Suojaa SSH-käyttö käyttämällä Spiped On OpenBSD:tä

Koska SSH-yhteys on palvelimesi hallinnan tärkein aloituspiste, siitä on tullut laajalti käytetty hyökkäysvektori.

SSH:n suojauksen perusvaiheet ovat: pääkäyttäjän oikeuksien poistaminen käytöstä, salasanatodennuksen poistaminen kokonaan käytöstä (ja avainten käyttö sen sijaan) ja porttien vaihtaminen (vähän ei liity turvallisuuteen paitsi tavallisten porttiskannerien ja lokiroskapostin minimoiminen).

Seuraava askel olisi PF-palomuuriratkaisu yhteyden seurannalla. Tämä ratkaisu hallitsee yhteystiloja ja estää kaikki IP-osoitteet, joilla on liian monta yhteyttä. Tämä toimii hyvin ja on erittäin helppo tehdä PF:n kanssa, mutta SSH-daemon on edelleen alttiina Internetiin.

Mitä jos tekisit SSH:n täysin saavuttamattomiksi ulkopuolelta? Tässä spiped tulee sisään. Kotisivulta:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Loistava! Onneksi siinä on korkealaatuinen OpenBSD-paketti, joka tekee kaikki valmistelutyöt puolestamme, joten voimme aloittaa asentamalla sen:

sudo pkg_add spiped

Tämä myös asentaa meille mukavan init-skriptin, jotta voimme edetä ja ottaa sen käyttöön:

sudo rcctl enable spiped

Ja lopuksi aloita:

sudo rcctl start spiped

Init-skripti varmistaa, että avain luodaan meille (jonka tarvitsemme paikallisella koneella hetken kuluttua).

Meidän on nyt poistettava sshdkuuntelu julkisesta osoitteesta, estettävä portti 22 ja sallittava portti 8022 (jota käytetään oletuksena spiped init -skriptissä).

Avaa /etc/ssh/sshd_configtiedosto ja muuta (ja poista) ListenAddressrivi luettavaksi 127.0.0.1:

ListenAddress 127.0.0.1

Jos käytät PF-sääntöjä porttien estoon, varmista, että ohitat portin 8022 (ja voit jättää portin 22 lukituksi), esim.:

pass in on egress proto tcp from any to any port 8022

Muista ladata säännöt uudelleen, jotta se aktivoituu:

sudo pfctl -f /etc/pf.conf

Nyt meidän tarvitsee vain kopioida luotu spiped-avain ( /etc/spiped/spiped.key) palvelimelta paikalliselle koneelle ja säätää SSH-määrityksiämme, jotain seuraavilla tavoilla:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Sinun on spipe/spipedtietysti oltava asennettuna myös paikalliselle koneelle. Jos olet kopioinut avaimen ja säätänyt nimiä/polkuja, sinun pitäisi pystyä muodostamaan ProxyCommandyhteys ~/.ssh/configtiedostosi kyseiseen riviin .

Kun olet varmistanut, että se toimii, voimme käynnistää uudelleen sshdpalvelimella:

sudo rcctl restart sshd

Ja siinä se! Nyt olet eliminoinut kokonaan yhden suuren hyökkäysvektorin, ja sinulla on yksi palvelu vähemmän kuuntelemassa julkisessa käyttöliittymässä. SSH-yhteyksiesi pitäisi nyt näyttää tulevan localhostilta, esimerkiksi:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultrin käytön etuna on, että jokainen Vultr VPS tarjoaa mukavan online-VNC-tyyppisen asiakasohjelman, jota voimme käyttää siltä varalta, että lukitsemme itsemme vahingossa. Kokeile pois!