Kadangi SSH prieiga yra svarbiausias jūsų serverio administravimo įėjimo taškas, ji tapo plačiai naudojamu atakos vektoriumi.
Pagrindiniai SSH saugos veiksmai yra šie: root prieigos išjungimas, slaptažodžio autentifikavimo išjungimas (ir vietoj to raktų naudojimas) ir prievadų keitimas (su sauga mažai ką bendro, išskyrus įprastų prievadų skaitytuvų ir žurnalų šlamšto sumažinimą).
Kitas žingsnis būtų PF ugniasienės sprendimas su ryšio sekimu. Šis sprendimas valdytų ryšio būsenas ir blokuotų bet kokį IP, kuriame yra per daug jungčių. Tai puikiai veikia ir tai labai lengva padaryti naudojant PF, tačiau SSH demonas vis dar veikia internetas.
Kaip padaryti, kad SSH būtų visiškai neprieinamas iš išorės? Čia pasirodo spiped . Iš pagrindinio puslapio:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Puiku! Mūsų laimei, jis turi aukštos kokybės OpenBSD paketą, kuris už mus atlieka visus parengiamuosius darbus, todėl galime pradėti jį diegdami:
sudo pkg_add spiped
Tai taip pat įdiegia mums puikų pradinį scenarijų, kad galėtume eiti į priekį ir jį įjungti:
sudo rcctl enable spiped
Ir galiausiai pradėkite:
sudo rcctl start spiped
Init scenarijus užtikrina, kad raktas būtų sukurtas mums (kurio mums prireiks vietiniame kompiuteryje).
Ką turime padaryti dabar, tai išjungti sshdklausymąsi viešuoju adresu, blokuoti 22 prievadą ir leisti 8022 prievadą (kuris pagal numatytuosius nustatymus naudojamas spiped init scenarijuje).
Atidarykite /etc/ssh/sshd_configfailą ir pakeiskite (ir panaikinkite komentarą) ListenAddresseilutę, kad galėtumėte skaityti 127.0.0.1:
ListenAddress 127.0.0.1
Jei prievadų blokavimui naudojate PF taisykles, įsitikinkite, kad praėjote 8022 prievadą (ir galite palikti 22 prievadą užblokuotą), pvz.:
pass in on egress proto tcp from any to any port 8022
Būtinai iš naujo įkelkite taisykles, kad jis būtų aktyvus:
sudo pfctl -f /etc/pf.conf
Dabar viskas, ko mums reikia, yra nukopijuoti sugeneruotą spiped raktą ( /etc/spiped/spiped.key) iš serverio į vietinį kompiuterį ir pakoreguoti SSH konfigūraciją, ką nors panašaus į šias linijas:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Žinoma, jūs taip pat turite būti spipe/spipedįdiegtas vietiniame kompiuteryje. Jei nukopijavote raktą ir pakoregavote pavadinimus / kelius, turėtumėte turėti galimybę prisijungti prie šios ProxyCommandsavo ~/.ssh/configfailo eilutės .
Patvirtinus, kad jis veikia, galime paleisti sshdiš naujo serveryje:
sudo rcctl restart sshd
Štai ir viskas! Dabar visiškai pašalinote vieną didelį atakos vektorių ir turite viena paslauga mažiau, kuri klausosi viešoje sąsajoje. Dabar turėtų atrodyti, kad jūsų SSH ryšiai atkeliavo iš „localhost“, pavyzdžiui:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
„Vultr“ naudojimo pranašumas yra tas, kad kiekvienas „Vultr VPS“ siūlo puikų internetinį VNC tipo klientą, kurį galime naudoti, jei netyčia užsiblokuotume. Eksperimentuokite!
Naudojate kitą sistemą? Tiny Tiny RSS Reader yra nemokama ir atviro kodo savarankiškai priglobta žiniatinklio naujienų kanalo (RSS/Atom) skaitytuvas ir kaupiklis, skirtas
Naudojate kitą sistemą? Wiki.js yra nemokama atvirojo kodo moderni wiki programa, sukurta naudojant Node.js, MongoDB, Git ir Markdown. Wiki.js šaltinio kodas yra viešas
Naudojate kitą sistemą? Pagekit 1.0 TVS yra graži, modulinė, išplečiama ir lengva, nemokama ir atviro kodo turinio valdymo sistema (TVS) su
Naudojate kitą sistemą? MODX Revolution yra greita, lanksti, keičiamo dydžio atvirojo kodo, įmonės lygio turinio valdymo sistema (TVS), parašyta PHP. Tai i
Šiame straipsnyje paaiškinama, kaip nustatyti OpenBSD 5.5 (64 bitų) KVM naudojant Vultr VPS. 1 veiksmas. Prisijunkite prie Vultr valdymo pulto. 2 veiksmas. Spustelėkite DEPLOY
Naudojate kitą sistemą? osTicket yra atvirojo kodo klientų aptarnavimo bilietų pardavimo sistema. „osTicket“ šaltinio kodas viešai priglobtas „Github“. Šioje pamokoje
Using a Different System? Flarum is a free and open-source next-generation forum software that makes online discussion fun. Flarum source code is hosted o
Naudojate kitą sistemą? TLS 1.3 yra Transport Layer Security (TLS) protokolo versija, kuri buvo paskelbta 2018 m. kaip siūlomas standartas RFC 8446.
Įvadas WordPress yra dominuojanti turinio valdymo sistema internete. Tai suteikia viską nuo tinklaraščių iki sudėtingų svetainių su dinamišku turiniu
Naudojate kitą sistemą? Subrion 4.1 TVS yra galinga ir lanksti atvirojo kodo turinio valdymo sistema (TVS), kuri suteikia intuityvų ir aiškų turinį
Ši pamoka parodys, kaip sukonfigūruoti DNS paslaugą, kurią būtų lengva prižiūrėti, lengva konfigūruoti ir kuri paprastai yra saugesnė nei klasikinis BIN.
FEMP stekas, panašus į LEMP steką Linux sistemoje, yra atvirojo kodo programinės įrangos rinkinys, kuris paprastai įdiegiamas kartu, kad įgalintų FreeBS.
MongoDB yra pasaulinės klasės NoSQL duomenų bazė, kuri dažnai naudojama naujesnėse žiniatinklio programose. Jis teikia didelio našumo užklausas, dalijimąsi ir replikaciją
Naudojate kitą sistemą? Monica yra atviro kodo asmeninių santykių valdymo sistema. Pagalvokite apie tai kaip apie CRM (populiarų įrankį, kurį naudoja pardavimų komandos th
Įvadas Ši pamoka parodo OpenBSD kaip el. prekybos sprendimą naudojant PrestaShop ir Apache. Apache reikalinga, nes PrestaShop turi sudėtingą UR
Naudojate kitą sistemą? Fork yra atvirojo kodo TVS, parašyta PHP. „Forks“ šaltinio kodas yra „GitHub“. Šis vadovas parodys, kaip įdiegti Fork CM
Naudojate kitą sistemą? „Directus 6.4 CMS“ yra galinga ir lanksti, nemokama ir atvirojo kodo turinio valdymo sistema (TVS), kuri suteikia kūrėjams
Į VPS serverius dažnai nusitaiko įsibrovėliai. Įprastas atakų tipas rodomas sistemos žurnaluose kaip šimtai neteisėtų ssh prisijungimo bandymų. Nustatyti
Įvadas OpenBSD 5.6 pristatė naują demoną pavadinimu httpd, kuris palaiko CGI (per FastCGI) ir TLS. Norint įdiegti naują http, nereikia jokių papildomų darbų
Ši pamoka parodys, kaip įdiegti grupinę programą iRedMail naujai įdiegus FreeBSD 10. Turėtumėte naudoti serverį, turintį bent vieną gigabaitą.
Dirbtinis intelektas nėra ateityje, jis čia, dabartyje Šiame tinklaraštyje Skaitykite, kaip dirbtinio intelekto programos paveikė įvairius sektorius.
Ar taip pat esate DDOS atakų auka ir esate sumišęs dėl prevencijos metodų? Perskaitykite šį straipsnį, kad išspręstumėte savo užklausas.
Galbūt girdėjote, kad įsilaužėliai uždirba daug pinigų, bet ar kada susimąstėte, kaip jie uždirba tokius pinigus? padiskutuokime.
Ar norite pamatyti revoliucinius „Google“ išradimus ir kaip šie išradimai pakeitė kiekvieno žmogaus gyvenimą šiandien? Tada skaitykite tinklaraštį, kad pamatytumėte „Google“ išradimus.
Savavaledžių automobilių koncepcija, kuri išvažiuotų į kelius su dirbtinio intelekto pagalba, yra svajonė, kurią jau kurį laiką svajojame. Tačiau nepaisant kelių pažadų, jų niekur nematyti. Skaitykite šį tinklaraštį, kad sužinotumėte daugiau…
Kadangi mokslas sparčiai vystosi, perimdamas daug mūsų pastangų, taip pat didėja rizika, kad pateksime į nepaaiškinamą singuliarumą. Skaitykite, ką mums gali reikšti išskirtinumas.
Duomenų saugojimo metodai gali būti tobulinami nuo pat Duomenų gimimo. Šiame tinklaraštyje, remiantis infografika, aprašoma duomenų saugojimo raida.
Skaitykite tinklaraštį, kad paprasčiausiai sužinotumėte apie skirtingus didžiųjų duomenų architektūros sluoksnius ir jų funkcijas.
Šiame skaitmeniniu būdu pagrįstame pasaulyje išmanieji namų įrenginiai tapo svarbia gyvenimo dalimi. Štai keletas nuostabių išmaniųjų namų įrenginių privalumų, kaip jie daro mūsų gyvenimą vertą gyventi ir paprastesnį.
Neseniai „Apple“ išleido „macOS Catalina 10.15.4“ priedą, skirtą problemoms išspręsti, tačiau atrodo, kad dėl atnaujinimo kyla daugiau problemų, dėl kurių „Mac“ įrenginiai blokuojami. Norėdami sužinoti daugiau, perskaitykite šį straipsnį
