Port Knocking ant Debian

Iki šiol tikriausiai pakeitėte numatytąjį SSH prievadą. Vis dėlto įsilaužėliai gali nesunkiai nuskaityti prievadų diapazonus, kad aptiktų tą prievadą, tačiau su prievado beldžiavimu galite apgauti prievadų skaitytuvus. Tai veikia taip, kad jūsų SSH klientas bando prisijungti prie prievadų sekos, kurie visi atsisakys jūsų ryšio, bet atrakins nurodytą prievadą, kuris leidžia prisijungti. Labai saugus ir paprastas montuoti. Prievado knocking yra vienas geriausių būdų apsaugoti serverį nuo neteisėtų SSH prisijungimo bandymų.

Šis straipsnis išmokys jus, kaip nustatyti prievado beldimą. Jis buvo parašytas Debian 7 (Wheezy), bet gali veikti ir kitose Debian ir Ubuntu versijose.

1 veiksmas: įdiekite reikiamus paketus

Darau prielaidą, kad jau įdiegėte SSH serverį. Jei to nepadarėte, paleiskite šias komandas kaip root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Tada įdiekite iptables.

apt-get install iptables

Įdiegti nereikia daug paketų – todėl tai yra puikus sprendimas apsisaugoti nuo žiaurios jėgos bandymų, o taip pat jį lengva nustatyti.

2 veiksmas: sukonfigūruokite „iptables“, kad būtų galima naudoti šią funkciją

Kadangi prisijungus jūsų SSH prievadas bus uždarytas, turime užtikrinti, kad serveris leis jums likti prisijungęs ir blokuoti kitus bandymus prisijungti. Vykdykite šias komandas savo serveryje kaip root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Tai leis esamiems ryšiams išlikti, bet užblokuos bet ką kitą prie SSH prievado.

Dabar sukonfigūruokime knockd.

Čia ir vyksta magija – galėsite pasirinkti, į kokius prievadus iš pradžių reikės belstis. Atidarykite failo teksto rengyklę /etc/knockd.conf.

nano /etc/knockd.conf

Bus skyrius, kuris atrodys kaip šis blokas.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Šioje skiltyje galėsite pakeisti prievadų, kuriuos reikia išjungti, seką. Kol kas liksime prie 7000, 8000 ir 9000 prievadų. Pakeiskite seq_timeout = 5į seq_timeout = 10, o closeSSHsekcijai – tą patį atlikite su seq_timeouteilute. closeSSHSkiltyje taip pat yra sekos eilutė, kurią taip pat turite pakeisti.

Turime įjungti knockd, todėl dar kartą atidarykite redaktorių kaip root.

nano /etc/default/knockd

Pakeiskite 0 skiltyje START_KNOCKDį 1, tada išsaugokite ir išeikite.

Dabar pradėkite trankyti:

service knockd start

Puiku! Viskas sumontuota. Jei atsijungsite nuo serverio, norėdami vėl prisijungti, turėsite išjungti 7000, 8000 ir 9000 prievadus.

3 veiksmas: išbandykime

Jei viskas buvo įdiegta teisingai, negalėsite prisijungti prie SSH serverio.

Galite išbandyti prievado trankymą naudodami Telnet klientą.

„Windows“ vartotojai gali paleisti „telnet“ iš komandų eilutės. Jei telnet neįdiegtas, eikite į valdymo skydelio skyrių „Programos“, tada raskite „Įjungti arba išjungti Windows funkcijas“. Funkcijų skydelyje suraskite „Telnet Client“ ir įjunkite.

Terminale / komandų eilutėje įveskite:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Padarykite tai per dešimt sekundžių, nes tai yra konfigūracijos riba. Dabar pabandykite prisijungti prie serverio per SSH. Jis bus prieinamas.

Norėdami uždaryti SSH serverį, vykdykite komandas atvirkštine tvarka.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Išvada

Geriausia prievado beldžiavimo dalis yra ta, kad jei jis sukonfigūruotas kartu su privačiojo rakto autentifikavimu, praktiškai nėra tikimybės, kad kas nors galėtų prisijungti, nebent kas nors žinotų prievadus ir privatųjį raktą.