Verndaðu SSH aðgang með því að nota Spiped On OpenBSD

Þar sem SSH aðgangur er mikilvægasti aðgangsstaðurinn til að stjórna netþjóninum þínum, er hann orðinn mikið notaður árásarvektor.

Grunnskref til að tryggja SSH eru meðal annars: slökkva á rótaraðgangi, slökkva algjörlega á auðkenningu lykilorðs (og nota lykla í staðinn) og skipta um tengi (lítið að gera með öryggi nema að lágmarka algenga gáttaskanna og ruslpóst).

Næsta skref væri PF eldveggslausn með tengingarrakningu. Þessi lausn myndi stjórna tengingarástandi og loka fyrir hvaða IP sem er með of margar tengingar. Þetta virkar frábærlega, og er mjög auðvelt að gera með PF, en SSH púkinn er enn útsettur fyrir internetinu.

Hvernig væri að gera SSH algjörlega óaðgengilegt að utan? Þetta er þar sem spiped kemur inn. Af heimasíðunni:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Frábært! Sem betur fer fyrir okkur er það með hágæða OpenBSD pakka sem vinnur alla undirbúningsvinnu fyrir okkur, svo við getum byrjað á því að setja hann upp:

sudo pkg_add spiped

Þetta setur líka upp gott init handrit fyrir okkur, svo við getum haldið áfram og virkjað það:

sudo rcctl enable spiped

Og byrjaðu að lokum:

sudo rcctl start spiped

Init handritið sér til þess að lykillinn sé búinn til fyrir okkur (sem við munum þurfa á staðbundinni vél eftir smá stund).

Það sem við þurfum að gera núna er að slökkva á því að sshdhlusta á netfang, loka fyrir port 22 og leyfa port 8022 (sem er sjálfgefið notað í spiped init script).

Opnaðu /etc/ssh/sshd_configskrána og breyttu (og afskrifaðu) ListenAddresslínuna til að lesa 127.0.0.1:

ListenAddress 127.0.0.1

Ef þú ert að nota PF reglur til að loka fyrir port, vertu viss um að fara framhjá port 8022 (og þú getur skilið port 22 eftir lokaða), td:

pass in on egress proto tcp from any to any port 8022

Vertu viss um að endurhlaða reglurnar til að gera það virkt:

sudo pfctl -f /etc/pf.conf

Nú þarf allt sem við þurfum að afrita myndaða spiped lykilinn ( /etc/spiped/spiped.key) frá þjóninum yfir á staðbundna vél og stilla SSH uppsetninguna okkar, eitthvað á þessa leið:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Þú þarft að hafa spipe/spipeduppsett á staðbundinni vél líka, augljóslega. Ef þú hefur afritað lykilinn og breytt nöfnum/slóðum, þá ættir þú að geta tengst þeirri ProxyCommandlínu í ~/.ssh/configskránni þinni.

Eftir að þú hefur staðfest að það virki getum við endurræst sshdá netþjóni:

sudo rcctl restart sshd

Og þannig er það! Nú hefurðu algjörlega útrýmt einum stórum árásarvektor og þú hefur einni þjónustu færri að hlusta á opinberu viðmóti. SSH tengingar þínar ættu nú að virðast hafa komið frá localhost, til dæmis:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Kosturinn við að nota Vultr er að hver Vultr VPS býður upp á flottan VNC-gerð viðskiptavin á netinu sem við getum notað ef við læsum okkur óvart úti. Tilraun í burtu!