Hvernig á að tryggja enn frekar SSH með port-bankaröð á Ubuntu 18.04

Kynning

Fyrir utan að breyta sjálfgefna gáttinni fyrir SSH og nota lykilpar fyrir auðkenningu, er hægt að nota gáttarbanka til að tryggja enn frekar (eða réttara sagt, hylja) SSH netþjóninn þinn. Það virkar með því að neita tengingum við SSH netgáttina þína. Þetta felur í rauninni þá staðreynd að þú ert að keyra SSH netþjón þar til röð tengingartilrauna eru gerðar við fyrirfram skilgreindar höfn. Mjög öruggt og einfalt í framkvæmd, portbanki er ein besta leiðin til að vernda netþjóninn þinn fyrir illgjarnum tilraunum til SSH tengingar.

Forkröfur

• Vultr netþjónn sem keyrir Ubuntu 18.04.
• Sudo aðgangur.

Áður en þú fylgir skrefunum hér að neðan, ef þú ert ekki skráður inn sem rótnotandi, vinsamlegast fáðu þér tímabundna rótarskel með því að keyra sudo -iog slá inn lykilorðið þitt. Að öðrum kosti gætirðu sett sudoskipanirnar sem sýndar eru í þessari grein.

Skref 1: Knockd uppsetning

Knockd er pakkinn sem er notaður ásamt iptables til að innleiða portbanka á netþjóninn þinn. ' iptables-persistent' pakkann er einnig nauðsynleg.

apt update
apt install -y knockd iptables-persistent

Skref 2: iptables reglur

Keyrðu eftirfarandi skipanir í röð:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Þessar skipanir munu gera eftirfarandi, í sömu röð:

• Leiðbeina iptables að halda núverandi tengingum á lífi.
• Leiðbeina iptables að sleppa hvaða tengingu sem er við höfn tcp/22 (ef SSH púkinn þinn er að hlusta á aðra höfn en 22, ættir þú að breyta skipuninni hér að ofan í samræmi við það.)
• Vistaðu þessar tvær reglur svo þær haldist eftir endurræsingu.

Skref 3: Knockd stillingar

Notaðu textaritil að eigin vali og opnaðu skrána /etc/knockd.conf.

Þú munt sjá eftirfarandi:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Þú ættir að breyta röð gátta (velja gáttanúmer fyrir ofan 1024og ónotuð af öðrum þjónustum) og geyma það á öruggan hátt. Meðhöndla skal þessa samsetningu eins og lykilorð. Ef þú gleymir þér muntu missa aðgang að SSH. Við munum vísa til þessarar nýju röð sem x,y,z.

sem seq-timeoutlínan er fjöldi sekúndna Knockd mun bíða fyrir viðskiptavininn til að ljúka Port-bank röð. Það væri góð hugmynd að breyta þessu í eitthvað stærra, sérstaklega ef port-bankið verður gert handvirkt. Hins vegar er minna tímamörk öruggara. 15Mælt er með því að breyta því í þar sem við munum banka handvirkt í þessari kennslu.

Breyttu opnunarröðinni í völdu höfnina:

[openSSH]
sequence    = x,y,z

Breyttu skipunargildinu í eftirfarandi:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Breyttu nú lokunarröðinni í samræmi við það:

[closeSSH]
sequence    = z,y,x

Vistaðu breytingarnar þínar og lokaðu og opnaðu skrána /etc/default/knockd:

• Skiptu út START_KNOCKD=0fyrir START_KNOCKD=1.
• Bættu eftirfarandi línu við lok skrárinnar: KNOCKD_OPTS="-i ens3"(skiptu ens3út fyrir nafnið á almenna netviðmótinu þínu ef það er öðruvísi.)
• Vista og hætta.

Byrjaðu nú á Knockd:

systemctl start knockd

Ef þú aftengir þig núna við netþjóninn þinn þarftu að banka á port x, y, og ztil að tengjast aftur.

Skref 4: Próf

Þú munt nú ekki geta tengst SSH þjóninum þínum.

Þú getur prófað portbanka með telnet biðlara.

Windows notendur geta ræst telnet frá skipanalínunni. Ef telnet er ekki uppsett skaltu opna hlutann „Forrit“ á stjórnborðinu og finna „Kveikja eða slökkva á Windows eiginleikum“. Finndu „Telnet Client“ á eiginleikaspjaldinu og virkjaðu það.

Sláðu inn eftirfarandi í flugstöðinni/skipanalínunni þinni:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Gerðu þetta allt á fimmtán sekúndum, þar sem það eru mörkin sem sett eru í uppsetningunni. Reyndu nú að tengjast netþjóninum þínum í gegnum SSH. Það verður aðgengilegt.

Til að loka aðgangi að SSH þjóninum skaltu keyra skipanirnar í öfugri röð.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Niðurstaða

Það besta við að nota gáttarbanka er að ef það er stillt samhliða auðkenningu einkalykils, þá eru nánast engar líkur á því að einhver annar gæti komist inn nema einhver vissi um gáttarbankaröðina þína og væri með einkalykilinn þinn.