Zaščitite dostop SSH z uporabo Spiped On OpenBSD

Ker je dostop SSH najpomembnejša vstopna točka za upravljanje vašega strežnika, je postal široko uporabljen vektor napada.

Osnovni koraki za zaščito SSH vključujejo: onemogočanje korenskega dostopa, popolno izklop preverjanja pristnosti gesla (in namesto tega uporabo ključev) in spreminjanje vrat (malo opraviti z varnostjo, razen zmanjševanja običajnih skenerjev vrat in neželene pošte v dnevniku).

Naslednji korak bi bila rešitev požarnega zidu PF s sledenjem povezav. Ta rešitev bi upravljala stanja povezave in blokirala vse IP-je, ki imajo preveč povezav. To deluje odlično in je zelo enostavno narediti s PF, vendar je demon SSH še vedno izpostavljen internetu.

Kaj pa, da bi bil SSH popolnoma nedostopen od zunaj? Tukaj pride spiped . Z domače strani:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Super! Na našo srečo ima visokokakovosten paket OpenBSD, ki namesto nas opravi vsa pripravljalna dela, tako da lahko začnemo z namestitvijo:

sudo pkg_add spiped

To nam namesti tudi lep init skript, tako da ga lahko omogočimo:

sudo rcctl enable spiped

In končno začnite:

sudo rcctl start spiped

Skript init poskrbi, da je ključ ustvarjen za nas (ki ga bomo kmalu potrebovali na lokalnem računalniku).

Zdaj moramo onemogočiti sshdposlušanje na javnem naslovu, blokirati vrata 22 in dovoliti vrata 8022 (ki se privzeto uporablja v skriptu spiped init).

Odprite /etc/ssh/sshd_configdatoteko in spremenite (in odkomentirajte) ListenAddressvrstico za branje 127.0.0.1:

ListenAddress 127.0.0.1

Če uporabljate pravila PF za blokiranje vrat, se prepričajte, da ste prenesli vrata 8022 (in vrata 22 lahko pustite blokirana), npr.:

pass in on egress proto tcp from any to any port 8022

Ne pozabite znova naložiti pravila, da bo aktivna:

sudo pfctl -f /etc/pf.conf

Zdaj vse, kar potrebujemo, je kopirati ustvarjen spiped ključ ( /etc/spiped/spiped.key) s strežnika na lokalni računalnik in prilagoditi našo konfiguracijo SSH, nekaj v naslednjih vrsticah:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedOčitno morate imeti nameščen tudi na lokalnem računalniku. Če ste kopirali ključ in prilagodili imena/poti, bi se morali povezati s to ProxyCommandvrstico v ~/.ssh/configdatoteki.

Ko potrdite, da deluje, se lahko znova zaženemo sshdna strežniku:

sudo rcctl restart sshd

In to je to! Zdaj ste popolnoma odpravili en velik vektor napada in imate eno storitev, ki posluša manj na javnem vmesniku. Zdi se, da vaše povezave SSH prihajajo iz lokalnega gostitelja, na primer:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Prednost uporabe Vultra je, da vsak Vultr VPS ponuja prijeten spletni odjemalec tipa VNC, ki ga lahko uporabimo v primeru, da se pomotoma zaklenemo. Eksperimentirajte stran!