Port Knocking á Debian

Núna hefur þú líklega breytt sjálfgefna SSH tenginu þínu. Samt sem áður geta tölvuþrjótar auðveldlega skannað hafnarsvið til að uppgötva þá höfn - en með því að banka á höfn geturðu blekkt hafnarskanna. Hvernig það virkar er að SSH viðskiptavinurinn þinn reynir að tengjast röð af höfnum, sem allar munu neita tengingunni þinni, en opna tiltekið tengi sem leyfir tenginguna þína. Mjög öruggt og einfalt í uppsetningu. Höfn er ein besta leiðin til að vernda netþjóninn þinn gegn óheimilum SSH tengingartilraunum.

Þessi grein mun kenna þér hvernig á að setja upp portbanka. Það var skrifað fyrir Debian 7 (Wheezy), en gæti líka virkað á aðrar útgáfur af Debian og Ubuntu.

Skref 1: Að setja upp nauðsynlega pakka

Ég geri ráð fyrir að þú hafir þegar sett upp SSH netþjón. Ef þú hefur ekki gert það skaltu keyra eftirfarandi skipanir sem rót:

apt-get update
apt-get install openssh-server
apt-get install knockd

Settu síðan upp iptables.

apt-get install iptables

Það eru ekki margir pakkar til að setja upp - það er það sem gerir það að fullkomnu lausninni til að verjast tilraunum með grimmdarkrafti en jafnframt auðvelt að setja upp.

Skref 2: Stilla iptables til að nota þennan eiginleika

Vegna þess að SSH tengið þitt mun lokast eftir að þú hefur tengst, verðum við að ganga úr skugga um að þjónninn leyfi þér að vera tengdur á meðan þú hindrar aðrar tengingartilraunir. Framkvæmdu þessar skipanir á netþjóninum þínum sem rót.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Þetta mun leyfa núverandi tengingum að vera áfram, en loka fyrir allt annað á SSH tengið þitt.

Nú skulum við stilla knockd.

Þetta er þar sem galdurinn gerist - þú munt geta valið hvaða höfn þarf að slá í fyrstu. Opnaðu textaritil í skrána /etc/knockd.conf.

nano /etc/knockd.conf

Það verður hluti sem lítur út eins og eftirfarandi blokk.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Í þessum hluta muntu geta breytt röð hafna sem þarf að slá á. Fyrir nú, við munum vera með höfnum 7000, 8000, og 9000. Breyttu seq_timeout = 5til seq_timeout = 10, og fyrir closeSSHkafla, gera það sama fyrir seq_timeoutlínu. Það er líka röð lína í closeSSHhlutanum sem þú þarft að breyta líka.

Við þurfum að virkja knockd, svo opnaðu ritilinn þinn sem rót aftur.

nano /etc/default/knockd

Breyttu 0 í hlutanum START_KNOCKDí 1, vistaðu síðan og hættu.

Nú, byrjaðu að banka:

service knockd start

Frábært! Allt er uppsett. Ef þú aftengir þig við netþjóninn þinn þarftu að slá í port 7000, 8000 og 9000 til að tengjast aftur.

Skref 3: Við skulum prófa það

Ef allt var rétt uppsett ættirðu ekki að geta tengst SSH þjóninum þínum.

Þú getur prófað portbanka með telnet biðlara.

Windows notendur geta ræst telnet frá skipanalínunni. Ef telnet er ekki uppsett skaltu opna hlutann „Forrit“ á stjórnborðinu og finna „Kveikja eða slökkva á Windows eiginleikum“. Finndu „Telnet Client“ á eiginleikaspjaldinu og virkjaðu það.

Í flugstöðinni/skipunarkvaðningunni þinni sláðu inn:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Gerðu þetta allt á tíu sekúndum, þar sem það eru mörkin sem sett eru í uppsetningunni. Reyndu nú að tengjast netþjóninum þínum í gegnum SSH. Það verður aðgengilegt.

Til að loka SSH þjóninum skaltu keyra skipanirnar í öfugri röð.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Niðurstaða

Það besta við að nota gáttarbanka er að ef það er stillt samhliða auðkenningu einkalykils, þá eru nánast engar líkur á að einhver annar gæti komist inn nema einhver þekkti gáttirnar og einkalykilinn.