Aizsargājiet SSH piekļuvi, izmantojot Spiped On OpenBSD

Tā kā SSH piekļuve ir vissvarīgākais ieejas punkts jūsu servera administrēšanai, tas ir kļuvis par plaši izmantotu uzbrukuma vektoru.

Galvenās darbības, lai nodrošinātu SSH, ir šādas: root piekļuves atspējošana, paroles autentifikācijas pilnīga izslēgšana (un tā vietā izmantojot atslēgas) un portu maiņa (maz kas saistīts ar drošību, izņemot parasto portu skeneru un žurnālu surogātpasta samazināšanu).

Nākamais solis būtu PF ugunsmūra risinājums ar savienojuma izsekošanu. Šis risinājums pārvaldītu savienojuma stāvokļus un bloķētu jebkuru IP, kurā ir pārāk daudz savienojumu. Tas darbojas lieliski un ir ļoti viegli izdarāms ar PF, taču SSH dēmons joprojām ir pakļauts internetam.

Kā padarīt SSH pilnīgi nepieejamu no ārpuses? Šeit parādās spiped . No mājaslapas:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Lieliski! Mums par laimi, tai ir augstas kvalitātes OpenBSD pakotne, kas veic visus sagatavošanās darbus mūsu vietā, tāpēc mēs varam sākt ar tās instalēšanu:

sudo pkg_add spiped

Tas arī instalē mums jauku init skriptu, lai mēs varētu turpināt un iespējot:

sudo rcctl enable spiped

Un visbeidzot sāciet:

sudo rcctl start spiped

Init skripts nodrošina, ka atslēga ir izveidota mums (kas mums pēc brīža būs nepieciešama vietējā datorā).

Tas, kas mums jādara tagad, ir atspējot sshdklausīšanos publiskajā adresē, bloķēt 22. portu un atļaut portu 8022 (kas pēc noklusējuma tiek izmantots spiced init skriptā).

Atveriet /etc/ssh/sshd_configfailu un mainiet (un atceliet komentāru) ListenAddressrindiņu, lai lasītu 127.0.0.1:

ListenAddress 127.0.0.1

Ja portu bloķēšanai izmantojat PF noteikumus, noteikti izlaidiet portu 8022 (un varat atstāt 22. portu bloķētu), piemēram:

pass in on egress proto tcp from any to any port 8022

Noteikti atkārtoti ielādējiet noteikumus, lai tas būtu aktīvs:

sudo pfctl -f /etc/pf.conf

Tagad viss, kas mums nepieciešams, ir nokopēt ģenerēto atslēgu ( /etc/spiped/spiped.key) no servera uz vietējo mašīnu un pielāgot mūsu SSH konfigurāciju, kaut ko līdzīgu :

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedAcīmredzot jums ir jābūt instalētai arī vietējā datorā. Ja esat nokopējis atslēgu un pielāgojis nosaukumus/ceļus, jums vajadzētu būt iespējai izveidot savienojumu ar šo faila ProxyCommandrindiņu ~/.ssh/config.

Kad esat apstiprinājis, ka tas darbojas, mēs varam restartēt sshdserveri:

sudo rcctl restart sshd

Un tas arī viss! Tagad esat pilnībā novērsis vienu lielu uzbrukuma vektoru, un jums ir par vienu pakalpojumu mazāk, kas klausās publiskajā saskarnē. Tagad šķiet, ka jūsu SSH savienojumi ir nākuši no localhost, piemēram:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Vultr izmantošanas ieguvums ir tāds, ka katrs Vultr VPS piedāvā jauku tiešsaistes VNC tipa klientu, ko varam izmantot, ja nejauši izslēdzam sevi no tā. Eksperimentējiet prom!