Kako dodatno zaščititi SSH z zaporedjem trkanja vrat na Ubuntu 18.04

Uvod

Poleg tega, da spremenite privzeta vrata za SSH in uporabite par ključev za preverjanje pristnosti, se lahko s trkanjem vrat uporabite za dodatno zaščito (ali natančneje, prikrivanje) vašega strežnika SSH. Deluje tako, da zavrne povezave z vašim omrežnim vratom SSH. To v bistvu skriva dejstvo, da uporabljate strežnik SSH, dokler se ne izvede zaporedje poskusov povezave z vnaprej določenimi vrati. Zelo varen in enostaven za izvajanje, je trkanje vrat eden najboljših načinov za zaščito vašega strežnika pred zlonamernimi poskusi povezave SSH.

Predpogoji

• Strežnik Vultr z operacijskim sistemom Ubuntu 18.04.
• Sudo dostop.

Preden sledite spodnjim korakom, če niste prijavljeni kot root uporabnik, pridobite začasno korensko lupino tako, da zaženete sudo -iin vnesete svoje geslo. Lahko pa tudi dodate sudoukaze, prikazane v tem članku.

1. korak: namestitev Knockd

Knockd je paket, ki se uporablja v kombinaciji z iptables za implementacijo vrat na vaš strežnik. iptables-persistentPotreben je tudi paket » «.

apt update
apt install -y knockd iptables-persistent

2. korak: pravila iptables

Zaženite naslednje ukaze po vrstnem redu:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Ti ukazi bodo naredili naslednje:

• Naročite iptables, da ohrani obstoječe povezave pri življenju.
• Naročite iptables, naj prekine kakršno koli povezavo z vrati tcp/22 (če vaš demon SSH posluša vrata, ki niso 22, morate zgornji ukaz ustrezno spremeniti.)
• Shranite ti dve pravili, da bosta vztrajala po ponovnem zagonu.

3. korak: konfiguracija Knockd

Z urejevalnikom besedil po vaši izbiri odprite datoteko /etc/knockd.conf.

Videli boste naslednje:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Spremenite zaporedje vrat (izberite številke vrat zgoraj 1024in jih ne uporabljajo druge storitve) in jih varno shranite. To kombinacijo je treba obravnavati kot geslo. Če pozabite, boste izgubili dostop do SSH. To novo zaporedje bomo omenjali kot x,y,z.

seq-timeoutlinija je število sekund Knockd bo čakal stranko za dokončanje zaporedja-vrat trkanje. Dobro bi bilo, če bi to spremenili v nekaj večjega, še posebej, če se bo odpiranje vrat izvajalo ročno. Vendar pa je manjša vrednost časovne omejitve varnejša. 15Priporočljivo je, da ga spremenite v , ker bomo v tej vadnici potrkali ročno.

Spremenite zaporedje odpiranja na izbrana vrata:

[openSSH]
sequence    = x,y,z

Spremenite vrednost ukaza na naslednjo:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Zdaj ustrezno spremenite zaporedje zapiranja:

[closeSSH]
sequence    = z,y,x

Shranite spremembe in zapustite ter odprite datoteko /etc/default/knockd:

• Zamenjajte START_KNOCKD=0z START_KNOCKD=1.
• Na konec datoteke dodajte naslednjo vrstico: KNOCKD_OPTS="-i ens3"(zamenjajte ens3z imenom vašega javnega omrežnega vmesnika, če se razlikuje.)
• Shrani in zapusti.

Zdaj zaženite Knockd:

systemctl start knockd

Če zdaj prekinete povezavo s strežnikom, boste morali potrkati na vrata x, y, in zse znova povezati.

4. korak: Testiranje

Zdaj se ne boste mogli povezati s svojim strežnikom SSH.

Trkanje vrat lahko preizkusite z odjemalcem telnet.

Uporabniki sistema Windows lahko zaženejo telnet iz ukaznega poziva. Če telnet ni nameščen, odprite razdelek »Programi« na nadzorni plošči in poiščite »Vklop ali izklop funkcij sistema Windows«. Na plošči s funkcijami poiščite "Odjemalec Telnet" in ga omogočite.

V terminalski/ukazni poziv vnesite naslednje:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Vse to naredite v petnajstih sekundah, saj je to meja, določena v konfiguraciji. Zdaj se poskusite povezati s strežnikom prek SSH. Dostopno bo.

Če želite zapreti dostop do strežnika SSH, zaženite ukaze v obratnem vrstnem redu.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Zaključek

Najboljši del uporabe prekinitve vrat je, da če je konfiguriran poleg preverjanja pristnosti zasebnega ključa, praktično ni možnosti, da bi kdo drug vstopil, razen če nekdo pozna vaše zaporedje trkanja vrat in ima vaš zasebni ključ.