Chráňte prístup SSH pomocou Spiped On OpenBSD

Keďže prístup SSH je najdôležitejším vstupným bodom pre správu vášho servera, stal sa široko používaným vektorom útokov.

Základné kroky na zabezpečenie SSH zahŕňajú: zakázanie prístupu root, úplné vypnutie autentifikácie heslom (a namiesto toho používanie kľúčov) a zmenu portov (málo spoločného s bezpečnosťou okrem minimalizácie bežných skenerov portov a protokolovania spamu).

Ďalším krokom by bolo riešenie PF firewallu so sledovaním pripojení. Toto riešenie by spravovalo stavy pripojenia a blokovalo každú IP, ktorá má príliš veľa pripojení. Funguje to skvele a je to veľmi jednoduché s PF, ale démon SSH je stále vystavený internetu.

Čo tak urobiť SSH zvonku úplne neprístupným? Tu prichádza spiped . Z domovskej stránky:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

skvelé! Našťastie pre nás má vysoko kvalitný balík OpenBSD, ktorý za nás robí všetky prípravné práce, takže môžeme začať jeho inštaláciou:

sudo pkg_add spiped

Týmto sa nám nainštaluje aj pekný init skript, takže môžeme pokračovať a povoliť ho:

sudo rcctl enable spiped

A konečne začnite:

sudo rcctl start spiped

Skript init sa postará o to, aby bol kľúč vytvorený za nás (ktorý budeme o chvíľu potrebovať na lokálnom počítači).

Teraz musíme zakázať sshdpočúvanie na verejnej adrese, zablokovať port 22 a povoliť port 8022 (ktorý sa štandardne používa v inicializačnom skripte).

Otvorte /etc/ssh/sshd_configsúbor a zmeňte (a odkomentujte) ListenAddressriadok na čítanie 127.0.0.1:

ListenAddress 127.0.0.1

Ak na blokovanie portov používate pravidlá PF, uistite sa, že ste zadali port 8022 (a port 22 môžete nechať blokovaný), napr.

pass in on egress proto tcp from any to any port 8022

Nezabudnite znova načítať pravidlá, aby boli aktívne:

sudo pfctl -f /etc/pf.conf

Teraz všetko, čo potrebujeme, je skopírovať vygenerovaný kľúč ( /etc/spiped/spiped.key) zo servera na lokálny počítač a upraviť našu konfiguráciu SSH, niečo v nasledujúcom riadku:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Samozrejme, musíte mať spipe/spipednainštalovaný aj na lokálnom počítači. Ak ste skopírovali kľúč a upravili názvy/cesty, mali by ste byť schopní pripojiť sa k tomuto ProxyCommandriadku vo vašom ~/.ssh/configsúbore.

Po potvrdení, že to funguje, môžeme reštartovať sshdserver:

sudo rcctl restart sshd

A je to! Teraz ste úplne odstránili jeden veľký vektor útoku a máte o jednu službu menej počúvajúcu na verejnom rozhraní. Vaše pripojenia SSH by teraz mali vyzerať, že pochádzajú z localhost, napríklad:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Výhodou používania Vultr je, že každý Vultr VPS ponúka pekného online klienta typu VNC, ktorý môžeme použiť v prípade, že sa náhodou uzamkneme. Experimentujte preč!