Siden SSH-tilgang er det viktigste inngangspunktet for å administrere serveren din, har den blitt en mye brukt angrepsvektor.
Grunnleggende trinn for å sikre SSH inkluderer: deaktivering av rottilgang, deaktivering av passordautentisering helt (og bruk av nøkler i stedet) og endring av porter (lite å gjøre med sikkerhet bortsett fra å minimere vanlige portskannere og logg spam).
Neste trinn ville være en PF brannmurløsning med tilkoblingssporing. Denne løsningen vil administrere tilkoblingstilstander og blokkere enhver IP som har for mange tilkoblinger. Dette fungerer bra, og er veldig enkelt å gjøre med PF, men SSH-demonen er fortsatt utsatt for Internett.
Hva med å gjøre SSH helt utilgjengelig fra utsiden? Det er her spiped kommer inn. Fra hjemmesiden:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Flott! Heldigvis for oss har den en OpenBSD-pakke av høy kvalitet som gjør alt forarbeidet for oss, så vi kan starte med å installere det:
sudo pkg_add spiped
Dette installerer også et fint init-skript for oss, slik at vi kan gå videre og aktivere det:
sudo rcctl enable spiped
Og til slutt starte det:
sudo rcctl start spiped
Init-skriptet sørger for at nøkkelen er opprettet for oss (som vi trenger på en lokal maskin om litt).
Det vi må gjøre nå, er å deaktivere sshdfra å lytte på offentlig adresse, blokkere port 22 og tillate port 8022 (som som standard brukes i spiped init-skript).
Åpne /etc/ssh/sshd_configfilen og endre (og fjern kommentarer) ListenAddresslinjen for å lese 127.0.0.1:
ListenAddress 127.0.0.1
Hvis du bruker PF-regler for portblokkering, sørg for å passere port 8022 (og du kan la port 22 være blokkert), f.eks.
pass in on egress proto tcp from any to any port 8022
Sørg for å laste inn reglene på nytt for å gjøre den aktiv:
sudo pfctl -f /etc/pf.conf
Nå trenger vi bare å kopiere den genererte nøkkelen ( /etc/spiped/spiped.key) fra serveren til en lokal maskin og justere SSH-konfigurasjonen vår, noe på følgende måte:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Du må spipe/spipedselvfølgelig ha installert på en lokal maskin også. Hvis du har kopiert nøkkelen og justert navnene/banene, bør du kunne koble til den ProxyCommandlinjen i ~/.ssh/configfilen.
Etter at du har bekreftet at det fungerer, kan vi starte sshdpå nytt på en server:
sudo rcctl restart sshd
Og det er det! Nå har du fullstendig eliminert én stor angrepsvektor, og du har én tjeneste mindre som lytter på et offentlig grensesnitt. SSH-tilkoblingene dine skal nå se ut til å ha kommet fra localhost, for eksempel:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
En fordel med å bruke Vultr er at hver Vultr VPS tilbyr en fin online VNC-type klient tilgjengelig som vi kan bruke i tilfelle vi ved et uhell låser oss ute. Eksperimenter bort!
Bruker du et annet system? Tiny Tiny RSS Reader er en gratis og åpen kildekode selvhostet nettbasert nyhetsfeed (RSS/Atom) leser og aggregator, designet for å allo
Bruker du et annet system? Wiki.js er en gratis og åpen kildekode, moderne wiki-app bygget på Node.js, MongoDB, Git og Markdown. Wiki.js kildekode er offentlig
Bruker du et annet system? Pagekit 1.0 CMS er et vakkert, modulært, utvidbart og lett, gratis og åpen kildekode Content Management System (CMS) med
Bruker du et annet system? MODX Revolution er et raskt, fleksibelt, skalerbart, åpen kildekode, enterprise-grade Content Management System (CMS) skrevet i PHP. Det jeg
Denne artikkelen leder deg gjennom å sette opp OpenBSD 5.5 (64-bit) på KVM med en Vultr VPS. Trinn 1. Logg på Vultr-kontrollpanelet. Trinn 2. Klikk på DEPLOY
Bruker du et annet system? osTicket er et åpen kildekode kundestøtte billettsystem. osTicket-kildekoden er offentlig vert på Github. I denne opplæringen
Bruker du et annet system? Flarum er en gratis og åpen kildekode neste generasjons forumprogramvare som gjør nettdiskusjoner morsomme. Flarum kildekode er vert for o
Bruker du et annet system? TLS 1.3 er en versjon av Transport Layer Security (TLS)-protokollen som ble publisert i 2018 som en foreslått standard i RFC 8446
Introduksjon WordPress er det dominerende innholdsstyringssystemet på internett. Den driver alt fra blogger til komplekse nettsteder med dynamisk innhold
Bruker du et annet system? Subrion 4.1 CMS er et kraftig og fleksibelt innholdsstyringssystem (CMS) med åpen kildekode som gir et intuitivt og tydelig innhold
Denne opplæringen viser deg hvordan du konfigurerer en DNS-tjeneste som er enkel å vedlikeholde, enkel å konfigurere og som generelt er sikrere enn den klassiske BIN-en.
En FEMP-stack, som kan sammenlignes med en LEMP-stack på Linux, er en samling åpen kildekode-programvare som vanligvis installeres sammen for å aktivere en FreeBS
MongoDB er en NoSQL-database i verdensklasse som brukes ofte i nyere webapplikasjoner. Det gir høyytelsesspørringer, sharding og replikering
Bruker du et annet system? Monica er et åpen kildekodesystem for personlig relasjonsstyring. Tenk på det som et CRM (et populært verktøy som brukes av salgsteam i th
Introduksjon Denne opplæringen demonstrerer OpenBSD som en e-handelsløsning som bruker PrestaShop og Apache. Apache er nødvendig fordi PrestaShop har kompleks UR
Bruker du et annet system? Fork er et åpen kildekode CMS skrevet i PHP. Forks kildekode er vert på GitHub. Denne guiden viser deg hvordan du installerer Fork CM
Bruker du et annet system? Directus 6.4 CMS er et kraftig og fleksibelt, gratis og åpen kildekode Headless Content Management System (CMS) som gir utviklere
VPS-servere er ofte målrettet av inntrengere. En vanlig type angrep dukker opp i systemlogger som hundrevis av uautoriserte ssh-påloggingsforsøk. Setter opp
Introduksjon OpenBSD 5.6 introduserte en ny demon kalt httpd, som støtter CGI (via FastCGI) og TLS. Ingen ekstra arbeid er nødvendig for å installere den nye http
Denne opplæringen viser deg hvordan du installerer gruppevaren iRedMail på en ny installasjon av FreeBSD 10. Du bør bruke en server med minst én gigabyte o
Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.
Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.
Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.
Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.
Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...
Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.
Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.
Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.
I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.
Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer
