Port Knocking uz Debian

Tagad jūs, iespējams, esat mainījis noklusējuma SSH portu. Tomēr hakeri var viegli skenēt portu diapazonus, lai atklātu šo portu, taču ar portu klauvēšanu jūs varat apmānīt portu skenerus. Kā tas darbojas, jūsu SSH klients mēģina izveidot savienojumu ar virkni portu, kas visi atteiksies no savienojuma, bet atbloķēs noteiktu portu, kas ļauj izveidot savienojumu. Ļoti drošs un vienkārši uzstādāms. Portu klauvēšana ir viens no labākajiem veidiem, kā aizsargāt serveri no nesankcionētiem SSH savienojuma mēģinājumiem.

Šajā rakstā tiks parādīts, kā iestatīt portu klauvēšanu. Tas tika rakstīts Debian 7 (Wheezy), bet var darboties arī citās Debian un Ubuntu versijās.

1. darbība: nepieciešamo pakotņu instalēšana

Es pieņemu, ka jūs jau esat instalējis SSH serveri. Ja neesat to izdarījis, palaidiet šādas komandas kā root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Pēc tam instalējiet iptables.

apt-get install iptables

Nav daudz instalējamo pakotņu — tas padara to par ideālu risinājumu aizsardzībai pret brutāla spēka mēģinājumiem, vienlaikus arī viegli uzstādāmu.

2. darbība: iptables konfigurēšana, lai izmantotu šo līdzekli

Tā kā jūsu SSH ports tiks aizvērts pēc savienojuma izveides, mums ir jāpārliecinās, vai serveris ļauj jums palikt savienotam, vienlaikus bloķējot citus savienojuma mēģinājumus. Izpildiet šīs komandas savā serverī kā root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Tas ļaus saglabāt esošos savienojumus, bet bloķēt visu citu jūsu SSH portā.

Tagad konfigurēsim knockd.

Šeit notiek burvība – jūs varēsiet izvēlēties, kuras pieslēgvietas vispirms būs jāpieklauvē. Atveriet faila teksta redaktoru /etc/knockd.conf.

nano /etc/knockd.conf

Būs sadaļa, kas izskatās kā šāds bloks.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Šajā sadaļā varēsit mainīt pieslēgvietu secību, kurām nepieciešams pieklauvēt. Pagaidām mēs paliksim pie portiem 7000, 8000 un 9000. Mainiet seq_timeout = 5uz seq_timeout = 10, un closeSSHsadaļai dariet to pašu ar seq_timeoutlīniju. closeSSHSadaļā ir arī secības rinda, kas jums arī jāmaina.

Mums ir jāiespējo knockd, tāpēc vēlreiz atveriet redaktoru kā root.

nano /etc/default/knockd

Mainiet 0 sadaļā START_KNOCKDuz 1, pēc tam saglabājiet un izejiet.

Tagad sāciet klauvēt:

service knockd start

Lieliski! Viss ir uzstādīts. Ja atvienojaties no sava servera, jums būs jāpiesit pie porti 7000, 8000 un 9000, lai izveidotu savienojumu vēlreiz.

3. darbība. Izmēģināsim

Ja viss ir instalēts pareizi, jums nevajadzētu izveidot savienojumu ar savu SSH serveri.

Portu klauvējienu var pārbaudīt ar Telnet klientu.

Windows lietotāji var palaist telnet no komandu uzvednes. Ja telnet nav instalēts, piekļūstiet vadības paneļa sadaļai "Programmas" un pēc tam atrodiet "Windows funkciju ieslēgšana vai izslēgšana". Funkciju panelī atrodiet "Telnet Client" un iespējojiet to.

Terminālī/komandu uzvednē ierakstiet:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Dariet to visu desmit sekunžu laikā, jo tas ir konfigurācijā noteiktais ierobežojums. Tagad mēģiniet izveidot savienojumu ar serveri, izmantojot SSH. Tas būs pieejams.

Lai aizvērtu SSH serveri, palaidiet komandas apgrieztā secībā.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Secinājums

Portu klauvēšanas izmantošanas labākā daļa ir tāda, ka, ja tā ir konfigurēta kopā ar privātās atslēgas autentifikāciju, praktiski nav nekādu iespēju, ka kāds cits varētu iekļūt, ja kāds nezina portus un privāto atslēgu.