Ako ďalej zabezpečiť SSH pomocou sekvencie klepania portov na Ubuntu 18.04

Úvod

Okrem zmeny predvoleného portu pre SSH a použitia páru kľúčov na autentifikáciu sa môže klopanie portov použiť na ďalšie zabezpečenie (alebo presnejšie, zakrytie) vášho servera SSH. Funguje to tak, že odmietne pripojenie k vášmu sieťovému portu SSH. Toto v podstate skrýva skutočnosť, že používate server SSH, kým sa nevykoná sekvencia pokusov o pripojenie k preddefinovaným portom. Veľmi bezpečné a jednoduché implementovanie, klopanie portov je jedným z najlepších spôsobov, ako chrániť váš server pred škodlivými pokusmi o pripojenie SSH.

Predpoklady

• Server Vultr so systémom Ubuntu 18.04.
• Sudo prístup.

Ak nie ste prihlásení ako užívateľ root, pred vykonaním krokov uvedených nižšie získajte dočasné prostredie root spustením sudo -ia zadaním hesla. Prípadne môžete predpísať sudopríkazy uvedené v tomto článku.

Krok 1: Knockd inštalácia

Knockd je balík, ktorý sa používa v kombinácii s iptables na implementáciu klepania portov na vašom serveri. iptables-persistentVyžaduje sa aj balík „ “.

apt update
apt install -y knockd iptables-persistent

Krok 2: Pravidlá iptables

Spustite nasledujúce príkazy v poradí:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Tieto príkazy vykonajú nasledovné, resp.

• Inštruujte iptables, aby udržali existujúce pripojenia nažive.
• Inštruujte iptables, aby zrušilo akékoľvek pripojenie k portu tcp/22 (ak váš démon SSH počúva na inom porte ako 22, mali by ste zodpovedajúcim spôsobom upraviť vyššie uvedený príkaz.)
• Uložte si tieto dve pravidlá, aby pretrvali aj po reštarte.

Krok 3: Konfigurácia Knockd

Pomocou textového editora podľa vlastného výberu otvorte súbor /etc/knockd.conf.

Uvidíte nasledovné:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Mali by ste zmeniť poradie portov (vyberte čísla portov vyššie 1024a nepoužívané inými službami) a bezpečne ich uložiť. S touto kombináciou by sa malo zaobchádzať ako s heslom. Ak zabudnete, stratíte prístup k SSH. Túto novú sekvenciu budeme označovať ako x,y,z.

seq-timeoutlinka je počet sekúnd Knockd bude čakať na klienta na dokončenie sekvencie portov klepanie. Bolo by dobré to zmeniť na niečo väčšie, najmä ak sa bude klopanie portov vykonávať manuálne. Menšia hodnota časového limitu je však bezpečnejšia. Zmena to, aby 15sa odporúča, pretože budeme klopať ručne v tomto výukovom programe.

Zmeňte postupnosť otvárania na vybraté porty:

[openSSH]
sequence    = x,y,z

Zmeňte hodnotu príkazu na nasledujúcu:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Teraz zodpovedajúcim spôsobom zmeňte postupnosť uzatvárania:

[closeSSH]
sequence    = z,y,x

Uložte zmeny a ukončite a otvorte súbor /etc/default/knockd:

• Nahradiť START_KNOCKD=0s START_KNOCKD=1.
• Na koniec súboru pridajte nasledujúci riadok: KNOCKD_OPTS="-i ens3"( ens3ak sa líši, nahraďte ho názvom vášho verejného sieťového rozhrania.)
• Uložiť a ukončiť.

Teraz spustite Knockd:

systemctl start knockd

Ak teraz odpojiť od servera, budete musieť klopať na portoch x, ya zznovu pripojiť.

Krok 4: Testovanie

Teraz sa nebudete môcť pripojiť k svojmu serveru SSH.

Klopanie portov môžete otestovať pomocou klienta telnet.

Používatelia systému Windows môžu spustiť telnet z príkazového riadka. Ak telnet nie je nainštalovaný, prejdite do časti „Programy“ ovládacieho panela a vyhľadajte „Zapnúť alebo vypnúť funkcie systému Windows“. Na paneli funkcií nájdite "Telnet Client" a povoľte ho.

Vo svojom termináli/príkazovom riadku zadajte nasledovné:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Urobte to všetko za pätnásť sekúnd, pretože to je limit stanovený v konfigurácii. Teraz sa pokúste pripojiť k serveru cez SSH. Bude prístupný.

Ak chcete zatvoriť prístup k serveru SSH, spustite príkazy v opačnom poradí.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Záver

Najlepšie na používaní klepania portov je, že ak je nakonfigurované spolu s autentifikáciou súkromným kľúčom, nie je prakticky žiadna šanca, že by sa niekto mohol dostať dovnútra, pokiaľ niekto nepozná vašu sekvenciu klepania portov a nemá váš súkromný kľúč.