Kaip toliau apsaugoti SSH naudojant prievado beldžiavimo seką Ubuntu 18.04

Įvadas

Be numatytojo SSH prievado pakeitimo ir raktų poros naudojimo autentifikavimui, prievado beldimas gali būti naudojamas siekiant dar labiau apsaugoti (arba tiksliau, užmaskuoti) jūsų SSH serverį. Tai veikia atsisakydama prisijungti prie jūsų SSH tinklo prievado. Tai iš esmės paslepia faktą, kad naudojate SSH serverį, kol bus bandoma prisijungti prie iš anksto nustatytų prievadų. Labai saugus ir paprastas įdiegti, prievado beldimas yra vienas geriausių būdų apsaugoti serverį nuo kenkėjiškų SSH prisijungimo bandymų.

Būtinos sąlygos

• „Vultr“ serveris, kuriame veikia „Ubuntu 18.04“.
• Sudo prieiga.

Prieš atlikdami toliau nurodytus veiksmus, jei nesate prisijungę kaip root naudotojas, įsigykite laikiną šakninį apvalkalą paleisdami sudo -iir įvesdami slaptažodį. Arba galite pridėti sudoprie komandų, parodytų šiame straipsnyje.

1 veiksmas: Knockd diegimas

„Knockd“ yra paketas, kuris naudojamas kartu su „iptables“, kad jūsų serveryje būtų įdiegtas prievadų knocking. Taip iptables-persistentpat būtinas paketas „ “.

apt update
apt install -y knockd iptables-persistent

2 veiksmas: iptables taisyklės

Vykdykite šias komandas eilės tvarka:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Šios komandos atitinkamai atliks šiuos veiksmus:

• Nurodykite iptables išlaikyti esamus ryšius gyvus.
• Nurodykite iptables nutraukti bet kokį ryšį su prievadu tcp/22 (jei jūsų SSH demonas klausosi kito prievado nei 22, turėtumėte atitinkamai modifikuoti aukščiau pateiktą komandą.)
• Išsaugokite šias dvi taisykles, kad jos išliktų ir po perkrovimo.

3 veiksmas: Knockd konfigūracija

Naudodami pasirinktą teksto rengyklę atidarykite failą /etc/knockd.conf.

Pamatysite:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Turėtumėte pakeisti prievadų seką (pasirinkite aukščiau esančius prievadų numerius, kurių 1024nenaudoja kitos paslaugos) ir saugiai saugokite. Šis derinys turėtų būti traktuojamas kaip slaptažodis. Jei pamiršite, prarasite prieigą prie SSH. Šią naują seką vadinsime x,y,z.

seq-timeoutlinija yra sekundžių knockd lauks kliento baigti uosto-beldžiasi eilės numeris. Būtų gera idėja pakeisti tai į didesnį, ypač jei prievado beldimas bus atliekamas rankiniu būdu. Tačiau mažesnė skirtojo laiko reikšmė yra saugesnė. 15Rekomenduojame jį pakeisti į, nes šioje mokymo programoje skambinsime rankiniu būdu.

Pakeiskite pasirinktų prievadų atidarymo seką:

[openSSH]
sequence    = x,y,z

Pakeiskite komandos reikšmę į šią:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Dabar atitinkamai pakeiskite uždarymo seką:

[closeSSH]
sequence    = z,y,x

Išsaugokite pakeitimus, išeikite ir atidarykite failą /etc/default/knockd:

• Pakeiskite START_KNOCKD=0į START_KNOCKD=1.
• Failo pabaigoje pridėkite šią eilutę: KNOCKD_OPTS="-i ens3"( ens3jei ji skiriasi, pakeiskite savo viešojo tinklo sąsajos pavadinimu.)
• Išsaugoti ir išeiti.

Dabar paleiskite Knockd:

systemctl start knockd

Jei dabar atsijungsite nuo serverio, turėsite paspausti prievadus x, y, ir zvėl prisijungti.

4 veiksmas: bandymas

Dabar negalėsite prisijungti prie savo SSH serverio.

Galite išbandyti prievado trankymą naudodami Telnet klientą.

„Windows“ vartotojai gali paleisti „telnet“ iš komandų eilutės. Jei telnet neįdiegtas, eikite į valdymo skydelio skyrių „Programos“, tada raskite „Įjungti arba išjungti Windows funkcijas“. Funkcijų skydelyje suraskite „Telnet Client“ ir įjunkite.

Savo terminale / komandų eilutėje įveskite:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Atlikite visa tai per penkiolika sekundžių, nes tai yra konfigūracijos apribojimas. Dabar pabandykite prisijungti prie serverio per SSH. Jis bus prieinamas.

Norėdami uždaryti prieigą prie SSH serverio, vykdykite komandas atvirkštine tvarka.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Išvada

Geriausia prievado beldymosi naudojimo dalis yra ta, kad jei jis sukonfigūruotas kartu su privačiojo rakto autentifikavimu, praktiškai nėra jokios tikimybės, kad kažkas galėtų prisijungti, nebent kas nors žinotų jūsų prievado beldžiavimo seką ir turėtų jūsų privatųjį raktą.