Koska SSH-yhteys on palvelimesi hallinnan tärkein aloituspiste, siitä on tullut laajalti käytetty hyökkäysvektori.
SSH:n suojauksen perusvaiheet ovat: pääkäyttäjän oikeuksien poistaminen käytöstä, salasanatodennuksen poistaminen kokonaan käytöstä (ja avainten käyttö sen sijaan) ja porttien vaihtaminen (vähän ei liity turvallisuuteen paitsi tavallisten porttiskannerien ja lokiroskapostin minimoiminen).
Seuraava askel olisi PF-palomuuriratkaisu yhteyden seurannalla. Tämä ratkaisu hallitsee yhteystiloja ja estää kaikki IP-osoitteet, joilla on liian monta yhteyttä. Tämä toimii hyvin ja on erittäin helppo tehdä PF:n kanssa, mutta SSH-daemon on edelleen alttiina Internetiin.
Mitä jos tekisit SSH:n täysin saavuttamattomiksi ulkopuolelta? Tässä spiped tulee sisään. Kotisivulta:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Loistava! Onneksi siinä on korkealaatuinen OpenBSD-paketti, joka tekee kaikki valmistelutyöt puolestamme, joten voimme aloittaa asentamalla sen:
sudo pkg_add spiped
Tämä myös asentaa meille mukavan init-skriptin, jotta voimme edetä ja ottaa sen käyttöön:
sudo rcctl enable spiped
Ja lopuksi aloita:
sudo rcctl start spiped
Init-skripti varmistaa, että avain luodaan meille (jonka tarvitsemme paikallisella koneella hetken kuluttua).
Meidän on nyt poistettava sshdkuuntelu julkisesta osoitteesta, estettävä portti 22 ja sallittava portti 8022 (jota käytetään oletuksena spiped init -skriptissä).
Avaa /etc/ssh/sshd_configtiedosto ja muuta (ja poista) ListenAddressrivi luettavaksi 127.0.0.1:
ListenAddress 127.0.0.1
Jos käytät PF-sääntöjä porttien estoon, varmista, että ohitat portin 8022 (ja voit jättää portin 22 lukituksi), esim.:
pass in on egress proto tcp from any to any port 8022
Muista ladata säännöt uudelleen, jotta se aktivoituu:
sudo pfctl -f /etc/pf.conf
Nyt meidän tarvitsee vain kopioida luotu spiped-avain ( /etc/spiped/spiped.key) palvelimelta paikalliselle koneelle ja säätää SSH-määrityksiämme, jotain seuraavilla tavoilla:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Sinun on spipe/spipedtietysti oltava asennettuna myös paikalliselle koneelle. Jos olet kopioinut avaimen ja säätänyt nimiä/polkuja, sinun pitäisi pystyä muodostamaan ProxyCommandyhteys ~/.ssh/configtiedostosi kyseiseen riviin .
Kun olet varmistanut, että se toimii, voimme käynnistää uudelleen sshdpalvelimella:
sudo rcctl restart sshd
Ja siinä se! Nyt olet eliminoinut kokonaan yhden suuren hyökkäysvektorin, ja sinulla on yksi palvelu vähemmän kuuntelemassa julkisessa käyttöliittymässä. SSH-yhteyksiesi pitäisi nyt näyttää tulevan localhostilta, esimerkiksi:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Vultrin käytön etuna on, että jokainen Vultr VPS tarjoaa mukavan online-VNC-tyyppisen asiakasohjelman, jota voimme käyttää siltä varalta, että lukitsemme itsemme vahingossa. Kokeile pois!
Käytätkö erilaista järjestelmää? Tiny Tiny RSS Reader on ilmainen ja avoimen lähdekoodin itseisännöity verkkopohjainen uutissyötteen (RSS/Atom) lukija ja kokoaja, joka on suunniteltu
Käytätkö erilaista järjestelmää? Wiki.js on ilmainen ja avoimen lähdekoodin moderni wikisovellus, joka on rakennettu Node.js:lle, MongoDB:lle, Gitille ja Markdownille. Wiki.js-lähdekoodi on julkinen
Käytätkö erilaista järjestelmää? Pagekit 1.0 CMS on kaunis, modulaarinen, laajennettava ja kevyt, ilmainen ja avoimen lähdekoodin sisällönhallintajärjestelmä (CMS), jossa on
Käytätkö erilaista järjestelmää? MODX Revolution on nopea, joustava, skaalautuva, avoimen lähdekoodin, yritystason sisällönhallintajärjestelmä (CMS), joka on kirjoitettu PHP:llä. Se minä
Tämä artikkeli opastaa sinua määrittämään OpenBSD 5.5 (64-bittinen) KVM:ssä Vultr VPS:n kanssa. Vaihe 1. Kirjaudu Vultr-ohjauspaneeliin. Vaihe 2. Napsauta KÄYTÄ
Käytätkö erilaista järjestelmää? osTicket on avoimen lähdekoodin asiakastuen lippujärjestelmä. osTicket-lähdekoodia isännöidään julkisesti Githubissa. Tässä opetusohjelmassa
Käytätkö erilaista järjestelmää? Flarum on ilmainen ja avoimen lähdekoodin seuraavan sukupolven foorumiohjelmisto, joka tekee online-keskustelusta hauskaa. Flarum-lähdekoodia isännöi o
Käytätkö erilaista järjestelmää? TLS 1.3 on versio TLS (Transport Layer Security) -protokollasta, joka julkaistiin vuonna 2018 RFC 8446 -standardin ehdotuksena.
Johdanto WordPress on hallitseva sisällönhallintajärjestelmä Internetissä. Se tarjoaa kaiken tehon blogeista monimutkaisiin verkkosivustoihin, joissa on dynaamista sisältöä
Käytätkö erilaista järjestelmää? Subrion 4.1 CMS on tehokas ja joustava avoimen lähdekoodin sisällönhallintajärjestelmä (CMS), joka tuo intuitiivisen ja selkeän sisällön
Tämä opetusohjelma näyttää, kuinka voit määrittää DNS-palvelun, joka on helppo ylläpitää, helppo määrittää ja joka on yleensä turvallisempi kuin perinteinen BIN.
FEMP-pino, joka on verrattavissa LEMP-pinoon Linuxissa, on kokoelma avoimen lähdekoodin ohjelmistoja, jotka tyypillisesti asennetaan yhdessä mahdollistamaan FreeBS.
MongoDB on maailmanluokan NoSQL-tietokanta, jota käytetään usein uudemmissa verkkosovelluksissa. Se tarjoaa korkean suorituskyvyn kyselyitä, jakamista ja replikointia
Käytätkö erilaista järjestelmää? Monica on avoimen lähdekoodin henkilökohtaisten suhteiden hallintajärjestelmä. Ajattele sitä CRM:nä (suosittu työkalu, jota myyntitiimit käyttävät th
Johdanto Tämä opetusohjelma esittelee OpenBSD:n verkkokaupparatkaisuna PrestaShopilla ja Apachella. Apache vaaditaan, koska PrestaShopilla on monimutkainen UR
Using a Different System? Fork is an open source CMS written in PHP. Forks source code is hosted on GitHub. This guide will show you how to install Fork CM
Käytätkö erilaista järjestelmää? Directus 6.4 CMS on tehokas ja joustava, ilmainen ja avoimen lähdekoodin päätön sisällönhallintajärjestelmä (CMS), joka tarjoaa kehittäjille
VPS-palvelimet ovat usein tunkeilijoiden kohteena. Yleinen hyökkäystyyppi näkyy järjestelmälokeissa sadoina luvattomina ssh-kirjautumisyrityksinä. Asettaa
Johdanto OpenBSD 5.6 esitteli uuden daemonin nimeltä httpd, joka tukee CGI:tä (FastCGI:n kautta) ja TLS:ää. Uuden http:n asentaminen ei vaadi lisätyötä
Tämä opetusohjelma näyttää, kuinka asennat ryhmätyöohjelman iRedMail uuteen FreeBSD 10:n asennukseen. Sinun tulee käyttää palvelinta, jossa on vähintään yksi gigatavu
Tekoäly ei ole tulevaisuudessa, se tässä nykyisyydessä Tässä blogissa Lue kuinka tekoälysovellukset ovat vaikuttaneet eri sektoreihin.
Oletko myös DDOS-hyökkäysten uhri ja hämmentynyt ehkäisymenetelmistä? Lue tämä artikkeli ratkaistaksesi kysymyksesi.
Olet ehkä kuullut, että hakkerit ansaitsevat paljon rahaa, mutta oletko koskaan miettinyt, kuinka he ansaitsevat tuollaista rahaa? keskustellaan.
Haluatko nähdä Googlen vallankumouksellisia keksintöjä ja kuinka nämä keksinnöt muuttivat jokaisen ihmisen elämää nykyään? Lue sitten blogia nähdäksesi Googlen keksinnöt.
Konsepti itseohjautuvista autoista lähteä tielle tekoälyn avulla on ollut haaveena jo jonkin aikaa. Mutta useista lupauksista huolimatta niitä ei näy missään. Lue tämä blogi saadaksesi lisätietoja…
Kun tiede kehittyy nopeasti ja ottaa haltuunsa suuren osan ponnisteluistamme, myös riskit altistaa itsemme selittämättömälle singulariteetille kasvavat. Lue, mitä singulaarisuus voisi tarkoittaa meille.
Tietojen säilytystavat ovat kehittyneet mahdollisesti Datan syntymästä lähtien. Tämä blogi käsittelee tiedon tallennuksen kehitystä infografian pohjalta.
Blogista saat tietää Big Data -arkkitehtuurin eri kerroksista ja niiden toiminnoista yksinkertaisimmalla tavalla.
Tässä digitaalisessa maailmassa kodin älylaitteista on tullut tärkeä osa elämää. Tässä on muutamia älykkäiden kodin laitteiden hämmästyttäviä etuja, joiden avulla ne tekevät elämästämme elämisen arvoista ja yksinkertaisempaa.
Apple julkaisi äskettäin macOS Catalina 10.15.4 -lisäpäivityksen ongelmien korjaamiseksi, mutta näyttää siltä, että päivitys aiheuttaa lisää ongelmia, jotka johtavat mac-koneiden tiilikaamiseen. Lue tämä artikkeli saadaksesi lisätietoja
