Поред промене подразумеваног порта за ССХ и коришћења пара кључева за аутентификацију, куцање порта се може користити за даље обезбеђење (или тачније, затамњење) вашег ССХ сервера. Ради тако што одбија везе са вашим ССХ мрежним портом. Ово у суштини скрива чињеницу да користите ССХ сервер све док се не направи низ покушаја повезивања са унапред дефинисаним портовима. Веома безбедно и једноставно за имплементацију, куцање порта је један од најбољих начина да заштитите сервер од злонамерних покушаја ССХ повезивања.
Пре него што следите доле наведене кораке, ако нисте пријављени као роот корисник, набавите привремену роот љуску тако што ћете покренути sudo -iи унети своју лозинку. Алтернативно, можете додати sudoнаредбе приказане у овом чланку.
Кноцкд је пакет који се користи у комбинацији са иптаблес-ом за имплементацију куцања порта на вашем серверу. Пакет „ iptables-persistent” је такође неопходан.
apt update
apt install -y knockd iptables-persistent
Покрените следеће команде редом:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4
Ове команде ће урадити следеће, респективно:
Отворите датотеку помоћу уређивача текста по вашем избору /etc/knockd.conf.
Видећете следеће:
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
Требало би да промените редослед портова (изаберите бројеве портова изнад 1024и које друге услуге не користе) и да их сачувате безбедно. Ову комбинацију треба третирати као лозинку. Ако заборавите, изгубићете приступ ССХ-у. Ову нову секвенцу ћемо позвати као x,y,z.
seq-timeoutлинија је број секунди Кноцкд ће чекати клијента да заврши низ порт-куца. Било би добро да ово промените у нешто веће, посебно ако ће се лупање порта вршити ручно. Међутим, мања вредност временског ограничења је сигурнија. Промена је да 15се препоручује, јер ћемо ручно куцати у овом упутству.
Промените секвенцу отварања на изабране портове:
[openSSH]
sequence = x,y,z
Промените вредност команде на следеће:
command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
Сада промените секвенцу затварања у складу са тим:
[closeSSH]
sequence = z,y,x
Сачувајте промене и изађите и отворите датотеку /etc/default/knockd:
START_KNOCKD=0са START_KNOCKD=1.KNOCKD_OPTS="-i ens3"(замените ens3именом вашег интерфејса јавне мреже ако се разликује.)Сада покрените Кноцкд:
systemctl start knockd
Ако сада прекинете везу са сервером, мораћете да куцате на портовима x, y, и zда бисте се поново повезали.
Сада нећете моћи да се повежете са својим ССХ сервером.
Можете тестирати лупање порта помоћу телнет клијента.
Корисници Виндовс-а могу покренути телнет из командне линије. Ако телнет није инсталиран, приступите одељку „Програми“ на контролној табли, а затим пронађите „Укључи или искључи функције Виндовс-а“. На панелу са функцијама пронађите „Телнет клијент“ и омогућите га.
У свој терминал/командну линију откуцајте следеће:
telnet youripaddress x
telnet youripaddress y
telnet youripaddress z
Урадите све ово за петнаест секунди, јер је то ограничење наметнуто у конфигурацији. Сада покушајте да се повежете са својим сервером преко ССХ-а. Биће доступно.
Да бисте затворили приступ ССХ серверу, покрените команде обрнутим редоследом.
telnet youripaddress z
telnet youripaddress y
telnet youripaddress z
Најбољи део коришћења порта је то што ако је конфигурисан уз аутентификацију приватног кључа, практично нема шансе да би неко други могао да уђе осим ако неко није знао вашу секвенцу куцања порта и имао ваш приватни кључ.
Вештачка интелигенција није у будућности, она је овде управо у садашњости. У овом блогу Прочитајте како су апликације вештачке интелигенције утицале на различите секторе.
Да ли сте и ви жртва ДДОС напада и збуњени сте методама превенције? Прочитајте овај чланак да бисте решили своја питања.
Можда сте чули да хакери зарађују много новца, али да ли сте се икада запитали како зарађују толики новац? Хајде да причамо.
Да ли желите да видите револуционарне изуме Гугла и како су ти изуми променили живот сваког људског бића данас? Затим читајте на блогу да бисте видели Гооглеове изуме.
Концепт самовозећих аутомобила који путују на путеве уз помоћ вештачке интелигенције је сан који већ неко време имамо. Али упркос неколико обећања, њих нема нигде. Прочитајте овај блог да сазнате више…
Како се наука развија великом брзином, преузимајући многе наше напоре, расте и ризик да се подвргнемо необјашњивој сингуларности. Прочитајте шта би сингуларност могла да значи за нас.
Прочитајте блог да бисте на најједноставнији начин упознали различите слојеве у архитектури великих података и њихове функционалности.
Методе складиштења података су се развијале можда од рођења података. Овај блог покрива еволуцију складиштења података на основу инфографике.
У овом дигиталном свету, паметни кућни уређаји постали су кључни део живота. Ево неколико невероватних предности паметних кућних уређаја о томе како они чине наш живот вредним живљења и једноставнијим.
Недавно је Аппле издао мацОС Цаталина 10.15.4 додатак за исправку проблема, али изгледа да ажурирање изазива више проблема који доводе до квара Мац машина. Прочитајте овај чланак да бисте сазнали више
