Mivel az SSH hozzáférés a legfontosabb belépési pont a szerver adminisztrációjához, széles körben használt támadási vektor lett.
Az SSH biztonságossá tételének alapvető lépései a következők: a root hozzáférés letiltása, a jelszavas hitelesítés teljes kikapcsolása (és helyette a kulcsok használata), valamint a portok megváltoztatása (a biztonsághoz nem sok köze van, kivéve a gyakori portolvasók és a naplólevélszemét minimálisra csökkentését).
A következő lépés egy PF tűzfal megoldás lenne kapcsolatkövetéssel. Ez a megoldás kezelné a csatlakozási állapotokat, és blokkolna minden olyan IP-címet, amely túl sok kapcsolattal rendelkezik. Ez nagyszerűen működik, és nagyon könnyen megtehető PF-vel, de az SSH démon továbbra is elérhető az interneten.
Mit szólnál, ha kívülről teljesen elérhetetlenné tennéd az SSH-t? Itt jön be a spiped . A kezdőlapról:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Nagy! Szerencsére jó minőségű OpenBSD csomaggal rendelkezik, amely elvégzi helyettünk az összes előkészítő munkát, így kezdhetjük is a telepítésével:
sudo pkg_add spiped
Ez egy szép init szkriptet is telepít számunkra, így tovább léphetünk és engedélyezhetjük:
sudo rcctl enable spiped
És végül kezdje el:
sudo rcctl start spiped
Az init szkript gondoskodik arról, hogy a kulcs létrejöjjön nekünk (amire egy helyi gépen kicsit később szükségünk lesz).
Amit most tennünk kell, az az, hogy letiltjuk sshda nyilvános címen történő figyelést, blokkoljuk a 22-es portot és engedélyezzük a 8022-es portot (amely alapértelmezés szerint a spiped init szkriptben használatos).
Nyissa meg a /etc/ssh/sshd_configfájlt, és módosítsa (és törölje) az ListenAddressolvasandó sort 127.0.0.1:
ListenAddress 127.0.0.1
Ha PF szabályokat használ a portblokkoláshoz, győződjön meg arról, hogy átadja a 8022-es portot (és hagyhatja blokkolva a 22-es portot), pl.:
pass in on egress proto tcp from any to any port 8022
Az aktiváláshoz feltétlenül töltse be újra a szabályokat:
sudo pfctl -f /etc/pf.conf
Most már csak át kell másolnunk a generált spiped kulcsot ( /etc/spiped/spiped.key) a szerverről egy helyi gépre, és módosítanunk kell az SSH-konfigurációnkat, a következőképpen:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Meg kell, hogy spipe/spipedtelepítve van a helyi gépen is, nyilván. Ha kimásolta a kulcsot és beállította a neveket/elérési utakat, akkor képesnek kell lennie arra, hogy csatlakozzon ProxyCommanda ~/.ssh/configfájlban található sorhoz .
Miután meggyőződött arról, hogy működik, újraindíthatjuk sshda szerveren:
sudo rcctl restart sshd
És ez az! Most teljesen kiiktatott egy nagy támadási vektort, és eggyel kevesebb szolgáltatás figyelhető meg nyilvános felületen. Úgy tűnik, hogy az SSH-kapcsolataid a localhost-tól származnak, például:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
A Vultr használatának előnye, hogy minden Vultr VPS egy szép online VNC-típusú klienst kínál, amelyet arra az esetre használhatunk, ha véletlenül kizárnánk magunkat. Kísérletezzen el!
Más rendszert használ? A Tiny Tiny RSS Reader egy ingyenes és nyílt forráskódú, saját üzemeltetésű webalapú hírfolyam (RSS/Atom) olvasó és aggregátor, amelyet úgy terveztek, hogy
Más rendszert használ? A Wiki.js egy ingyenes és nyílt forráskódú, modern wikialkalmazás, amely Node.js-re, MongoDB-re, Git-re és Markdownra épül. A Wiki.js forráskódja nyilvános
Más rendszert használ? A Pagekit 1.0 CMS egy gyönyörű, moduláris, bővíthető és könnyű, ingyenes és nyílt forráskódú tartalomkezelő rendszer (CMS)
Más rendszert használ? A MODX Revolution egy gyors, rugalmas, méretezhető, nyílt forráskódú, vállalati szintű tartalomkezelő rendszer (CMS), PHP nyelven írva. Ez i
Ez a cikk végigvezeti az OpenBSD 5.5 (64 bites) beállításán KVM-en Vultr VPS-sel. 1. lépés: Jelentkezzen be a Vultr vezérlőpultra. 2. lépés Kattintson a BEVEZETÉS gombra
Más rendszert használ? Az osTicket egy nyílt forráskódú ügyfélszolgálati jegyértékesítő rendszer. Az osTicket forráskódja nyilvánosan a Githubon található. Ebben az oktatóanyagban
Más rendszert használ? A Flarum egy ingyenes, nyílt forráskódú, következő generációs fórumszoftver, amely szórakoztatóvá teszi az online beszélgetést. A Flarum forráskód o
Más rendszert használ? A TLS 1.3 a Transport Layer Security (TLS) protokoll egyik változata, amelyet 2018-ban tettek közzé javasolt szabványként az RFC 8446-ban.
Bevezetés A WordPress a domináns tartalomkezelő rendszer az interneten. A blogoktól a dinamikus tartalommal rendelkező összetett webhelyekig mindent megtesz
Más rendszert használ? A Subrion 4.1 CMS egy hatékony és rugalmas nyílt forráskódú tartalomkezelő rendszer (CMS), amely intuitív és világos tartalmat biztosít.
Ez az oktatóanyag bemutatja, hogyan konfigurálhat olyan DNS-szolgáltatást, amely könnyen karbantartható, könnyen konfigurálható, és általában biztonságosabb, mint a klasszikus BIN.
A FEMP verem, amely összehasonlítható a Linux LEMP veremével, nyílt forráskódú szoftverek gyűjteménye, amelyeket általában együtt telepítenek a FreeBS engedélyezéséhez.
A MongoDB egy világszínvonalú NoSQL adatbázis, amelyet gyakran használnak újabb webes alkalmazásokban. Nagy teljesítményű lekérdezéseket, felosztást és replikációt biztosít
Más rendszert használ? A Monica egy nyílt forráskódú személyes kapcsolatkezelő rendszer. Tekintsd úgy, mint egy CRM-et (az értékesítési csapatok által használt népszerű eszköz a th
Bevezetés Ez az oktatóanyag bemutatja az OpenBSD-t mint e-kereskedelmi megoldást PrestaShop és Apache használatával. Az Apache szükséges, mert a PrestaShop összetett UR-vel rendelkezik
Más rendszert használ? A Fork egy PHP nyelven írt nyílt forráskódú CMS. A Forks forráskódja a GitHubon található. Ez az útmutató megmutatja, hogyan kell telepíteni a Fork CM-et
Más rendszert használ? A Directus 6.4 CMS egy hatékony és rugalmas, ingyenes és nyílt forráskódú fej nélküli tartalomkezelő rendszer (CMS), amely a fejlesztők számára
A VPS-szervereket gyakran támadják meg a behatolók. A támadások gyakori típusa több száz jogosulatlan ssh bejelentkezési kísérletként jelenik meg a rendszernaplókban. Felállítása
Bevezetés Az OpenBSD 5.6 bevezetett egy új httpd démont, amely támogatja a CGI-t (FastCGI-n keresztül) és a TLS-t. Nincs szükség további munkára az új http telepítéséhez
Ez az oktatóanyag megmutatja, hogyan telepítheti a csoportmunka iRedMail programot a FreeBSD 10 friss telepítésére. Használjon legalább egy gigabájtos kiszolgálót.
Ez az oktatóanyag végigvezeti Önt a Vultrs rendszerekkel kompatibilis Windows ISO létrehozásának folyamatán. Itt megtanulhatja az <<strong>>Windows ISO<<strong>> előállításának lépéseit az NTLite segítségével.
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
