Apsaugokite SSH prieigą naudodami „Spiped On OpenBSD“.

Kadangi SSH prieiga yra svarbiausias jūsų serverio administravimo įėjimo taškas, ji tapo plačiai naudojamu atakos vektoriumi.

Pagrindiniai SSH saugos veiksmai yra šie: root prieigos išjungimas, slaptažodžio autentifikavimo išjungimas (ir vietoj to raktų naudojimas) ir prievadų keitimas (su sauga mažai ką bendro, išskyrus įprastų prievadų skaitytuvų ir žurnalų šlamšto sumažinimą).

Kitas žingsnis būtų PF ugniasienės sprendimas su ryšio sekimu. Šis sprendimas valdytų ryšio būsenas ir blokuotų bet kokį IP, kuriame yra per daug jungčių. Tai puikiai veikia ir tai labai lengva padaryti naudojant PF, tačiau SSH demonas vis dar veikia internetas.

Kaip padaryti, kad SSH būtų visiškai neprieinamas iš išorės? Čia pasirodo spiped . Iš pagrindinio puslapio:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Puiku! Mūsų laimei, jis turi aukštos kokybės OpenBSD paketą, kuris už mus atlieka visus parengiamuosius darbus, todėl galime pradėti jį diegdami:

sudo pkg_add spiped

Tai taip pat įdiegia mums puikų pradinį scenarijų, kad galėtume eiti į priekį ir jį įjungti:

sudo rcctl enable spiped

Ir galiausiai pradėkite:

sudo rcctl start spiped

Init scenarijus užtikrina, kad raktas būtų sukurtas mums (kurio mums prireiks vietiniame kompiuteryje).

Ką turime padaryti dabar, tai išjungti sshdklausymąsi viešuoju adresu, blokuoti 22 prievadą ir leisti 8022 prievadą (kuris pagal numatytuosius nustatymus naudojamas spiped init scenarijuje).

Atidarykite /etc/ssh/sshd_configfailą ir pakeiskite (ir panaikinkite komentarą) ListenAddresseilutę, kad galėtumėte skaityti 127.0.0.1:

ListenAddress 127.0.0.1

Jei prievadų blokavimui naudojate PF taisykles, įsitikinkite, kad praėjote 8022 prievadą (ir galite palikti 22 prievadą užblokuotą), pvz.:

pass in on egress proto tcp from any to any port 8022

Būtinai iš naujo įkelkite taisykles, kad jis būtų aktyvus:

sudo pfctl -f /etc/pf.conf

Dabar viskas, ko mums reikia, yra nukopijuoti sugeneruotą spiped raktą ( /etc/spiped/spiped.key) iš serverio į vietinį kompiuterį ir pakoreguoti SSH konfigūraciją, ką nors panašaus į šias linijas:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Žinoma, jūs taip pat turite būti spipe/spipedįdiegtas vietiniame kompiuteryje. Jei nukopijavote raktą ir pakoregavote pavadinimus / kelius, turėtumėte turėti galimybę prisijungti prie šios ProxyCommandsavo ~/.ssh/configfailo eilutės .

Patvirtinus, kad jis veikia, galime paleisti sshdiš naujo serveryje:

sudo rcctl restart sshd

Štai ir viskas! Dabar visiškai pašalinote vieną didelį atakos vektorių ir turite viena paslauga mažiau, kuri klausosi viešoje sąsajoje. Dabar turėtų atrodyti, kad jūsų SSH ryšiai atkeliavo iš „localhost“, pavyzdžiui:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

„Vultr“ naudojimo pranašumas yra tas, kad kiekvienas „Vultr VPS“ siūlo puikų internetinį VNC tipo klientą, kurį galime naudoti, jei netyčia užsiblokuotume. Eksperimentuokite!