Þar sem SSH aðgangur er mikilvægasti aðgangsstaðurinn til að stjórna netþjóninum þínum, er hann orðinn mikið notaður árásarvektor.
Grunnskref til að tryggja SSH eru meðal annars: slökkva á rótaraðgangi, slökkva algjörlega á auðkenningu lykilorðs (og nota lykla í staðinn) og skipta um tengi (lítið að gera með öryggi nema að lágmarka algenga gáttaskanna og ruslpóst).
Næsta skref væri PF eldveggslausn með tengingarrakningu. Þessi lausn myndi stjórna tengingarástandi og loka fyrir hvaða IP sem er með of margar tengingar. Þetta virkar frábærlega, og er mjög auðvelt að gera með PF, en SSH púkinn er enn útsettur fyrir internetinu.
Hvernig væri að gera SSH algjörlega óaðgengilegt að utan? Þetta er þar sem spiped kemur inn. Af heimasíðunni:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Frábært! Sem betur fer fyrir okkur er það með hágæða OpenBSD pakka sem vinnur alla undirbúningsvinnu fyrir okkur, svo við getum byrjað á því að setja hann upp:
sudo pkg_add spiped
Þetta setur líka upp gott init handrit fyrir okkur, svo við getum haldið áfram og virkjað það:
sudo rcctl enable spiped
Og byrjaðu að lokum:
sudo rcctl start spiped
Init handritið sér til þess að lykillinn sé búinn til fyrir okkur (sem við munum þurfa á staðbundinni vél eftir smá stund).
Það sem við þurfum að gera núna er að slökkva á því að sshdhlusta á netfang, loka fyrir port 22 og leyfa port 8022 (sem er sjálfgefið notað í spiped init script).
Opnaðu /etc/ssh/sshd_configskrána og breyttu (og afskrifaðu) ListenAddresslínuna til að lesa 127.0.0.1:
ListenAddress 127.0.0.1
Ef þú ert að nota PF reglur til að loka fyrir port, vertu viss um að fara framhjá port 8022 (og þú getur skilið port 22 eftir lokaða), td:
pass in on egress proto tcp from any to any port 8022
Vertu viss um að endurhlaða reglurnar til að gera það virkt:
sudo pfctl -f /etc/pf.conf
Nú þarf allt sem við þurfum að afrita myndaða spiped lykilinn ( /etc/spiped/spiped.key) frá þjóninum yfir á staðbundna vél og stilla SSH uppsetninguna okkar, eitthvað á þessa leið:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Þú þarft að hafa spipe/spipeduppsett á staðbundinni vél líka, augljóslega. Ef þú hefur afritað lykilinn og breytt nöfnum/slóðum, þá ættir þú að geta tengst þeirri ProxyCommandlínu í ~/.ssh/configskránni þinni.
Eftir að þú hefur staðfest að það virki getum við endurræst sshdá netþjóni:
sudo rcctl restart sshd
Og þannig er það! Nú hefurðu algjörlega útrýmt einum stórum árásarvektor og þú hefur einni þjónustu færri að hlusta á opinberu viðmóti. SSH tengingar þínar ættu nú að virðast hafa komið frá localhost, til dæmis:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Kosturinn við að nota Vultr er að hver Vultr VPS býður upp á flottan VNC-gerð viðskiptavin á netinu sem við getum notað ef við læsum okkur óvart úti. Tilraun í burtu!
Að nota annað kerfi? Tiny Tiny RSS Reader er ókeypis og opinn uppspretta sjálf-hýstinn fréttastraumur (RSS/Atom) lesandi og safnari, hannaður til að dreifa
Að nota annað kerfi? Wiki.js er ókeypis og opinn uppspretta, nútímalegt wikiforrit byggt á Node.js, MongoDB, Git og Markdown. Wiki.js frumkóði er publicl
Að nota annað kerfi? Pagekit 1.0 CMS er fallegt, mát, útvíkkanlegt og létt, ókeypis og opið efnisstjórnunarkerfi (CMS) með
Að nota annað kerfi? MODX Revolution er hraðvirkt, sveigjanlegt, stigstærð, opinn uppspretta, vefumsjónarkerfi (CMS) í fyrirtækisgráðu skrifað í PHP. Það i
Þessi grein leiðir þig í gegnum uppsetningu OpenBSD 5.5 (64-bita) á KVM með Vultr VPS. Skref 1. Skráðu þig inn á Vultr stjórnborðið. Skref 2. Smelltu á DEPLOY
Að nota annað kerfi? osTicket er opinn uppspretta miðasölukerfi fyrir þjónustuver. osTicket frumkóði er hýst opinberlega á Github. Í þessari kennslu
Að nota annað kerfi? Flarum er ókeypis og opinn uppspretta næstu kynslóðar spjallforrit sem gerir umræður á netinu skemmtilegar. Flarum frumkóði er hýst o
Að nota annað kerfi? TLS 1.3 er útgáfa af Transport Layer Security (TLS) samskiptareglunum sem var gefin út árið 2018 sem fyrirhugaður staðall í RFC 8446
Inngangur WordPress er ríkjandi vefumsjónarkerfi á netinu. Það knýr allt frá bloggum til flókinna vefsíðna með kraftmiklu efni
Using a Different System? Subrion 4.1 CMS is a powerful and flexible open source Content Management System (CMS) that brings an intuitive and clear conten
Þessi kennsla mun sýna þér hvernig á að stilla DNS þjónustu sem er auðvelt að viðhalda, auðvelt að stilla og sem er almennt öruggara en klassískt BIN
FEMP stafla, sem er sambærilegur við LEMP stafla á Linux, er safn af opnum hugbúnaði sem er venjulega settur upp saman til að virkja FreeBS
MongoDB er heimsklassa NoSQL gagnagrunnur sem er oft notaður í nýrri vefforritum. Það býður upp á afkastamikil fyrirspurnir, klippingu og afritun
Að nota annað kerfi? Monica er opinn uppspretta persónuleg tengslastjórnunarkerfi. Hugsaðu um það sem CRM (vinsælt tól notað af söluteymum í þ
Inngangur Þessi kennsla sýnir OpenBSD sem rafræn viðskipti með PrestaShop og Apache. Apache er krafist vegna þess að PrestaShop er með flókna UR
Að nota annað kerfi? Fork er opinn uppspretta CMS skrifað í PHP. Forks frumkóði er hýstur á GitHub. Þessi handbók mun sýna þér hvernig á að setja upp Fork CM
Using a Different System? Directus 6.4 CMS is a powerful and flexible, free and open source Headless Content Management System (CMS) that provides developer
VPS netþjónar eru oft skotmörk boðflenna. Algeng tegund árása birtist í kerfisskrám sem hundruð óheimilra ssh innskráningartilrauna. Setja upp
Inngangur OpenBSD 5.6 kynnti nýjan púka sem heitir httpd, sem styður CGI (í gegnum FastCGI) og TLS. Engin frekari vinna þarf til að setja upp nýja http
Þessi kennsla mun sýna þér hvernig á að setja upp hópbúnaðinn iRedMail á nýrri uppsetningu á FreeBSD 10. Þú ættir að nota netþjón með að minnsta kosti einu gígabæta o
Gervigreind er ekki í framtíðinni, hún er hér í nútímanum Í þessu bloggi Lestu hvernig gervigreindarforrit hafa haft áhrif á ýmsa geira.
Ertu líka fórnarlamb DDOS árása og ruglaður með forvarnaraðferðirnar? Lestu þessa grein til að leysa spurningar þínar.
Þú gætir hafa heyrt að tölvuþrjótar græða mikið af peningum, en hefur þú einhvern tíma velt því fyrir þér hvernig þeir vinna sér inn svona peninga? við skulum ræða.
Viltu sjá byltingarkenndar uppfinningar frá Google og hvernig þessar uppfinningar breyttu lífi hvers manns í dag? Lestu síðan til að blogga til að sjá uppfinningar frá Google.
Hugmyndin um að sjálfkeyrandi bílar fari á göturnar með hjálp gervigreindar er draumur sem við höfum átt um tíma núna. En þrátt fyrir nokkur loforð eru þau hvergi sjáanleg. Lestu þetta blogg til að læra meira…
Þar sem vísindin þróast hratt og taka yfir mikið af viðleitni okkar, eykst hættan á því að verða fyrir óútskýranlegri einstæðu. Lestu, hvað sérkenni gæti þýtt fyrir okkur.
Geymsluaðferðir gagna hafa verið að þróast gæti verið frá fæðingu gagna. Þetta blogg fjallar um þróun gagnageymslu á grundvelli upplýsingamynda.
Lestu bloggið til að þekkja mismunandi lög í Big Data Architecture og virkni þeirra á einfaldasta hátt.
Í þessum stafræna heimi hafa snjallheimilistæki orðið afgerandi hluti af lífi. Hér eru nokkrir ótrúlegir kostir snjallheimatækja um hvernig þau gera líf okkar þess virði að lifa því og einfaldara.
Nýlega gaf Apple út macOS Catalina 10.15.4 viðbótaruppfærslu til að laga vandamál en svo virðist sem uppfærslan sé að valda fleiri vandamálum sem leiða til múrsteins á Mac vélum. Lestu þessa grein til að læra meira
