Порт Кноцкинг на Дебиан-у

До сада сте вероватно променили подразумевани ССХ порт. Ипак, хакери могу лако да скенирају опсеге портова да би открили тај порт - али са куцањем порта можете преварити скенере портова. Како то функционише је да ваш ССХ клијент покушава да се повеже са низом портова, од којих ће сви одбити вашу везу, али откључати одређени порт који дозвољава вашу везу. Веома сигуран и једноставан за инсталацију. Пробијање порта је један од најбољих начина да заштитите свој сервер од неовлашћених покушаја ССХ повезивања.

Овај чланак ће вас научити како да подесите куцање порта. Написан је за Дебиан 7 (Вхеези), али може радити и на другим верзијама Дебиан-а и Убунту-а.

Корак 1: Инсталирање потребних пакета

Претпостављам да сте већ инсталирали ССХ сервер. Ако нисте, покрените следеће команде као роот:

apt-get update
apt-get install openssh-server
apt-get install knockd

Затим инсталирајте иптаблес.

apt-get install iptables

Нема много пакета за инсталирање – то га чини савршеним решењем за заштиту од покушаја грубе силе, а истовремено га је лако подесити.

Корак 2: Конфигурисање иптаблес-а за коришћење ове функције

Пошто ће се ваш ССХ порт затворити након што се повежете, морамо да се уверимо да сервер дозвољава да останете повезани док блокирате друге покушаје повезивања. Извршите ове команде на свом серверу као роот.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Ово ће омогућити да постојеће везе остану, али ће блокирати све остало на вашем ССХ порту.

Сада, хајде да конфигуришемо кноцкд.

Овде се дешава магија - моћи ћете да изаберете који портови ће морати да се откуцају на почетку. Отворите уређивач текста за датотеку /etc/knockd.conf.

nano /etc/knockd.conf

Постојаће одељак који изгледа као следећи блок.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

У овом одељку ћете моћи да промените редослед портова који треба да се куцају. За сада ћемо остати на портовима 7000, 8000 и 9000. Промените seq_timeout = 5у seq_timeout = 10, а за closeSSHодељак урадите исто за seq_timeoutлинију. У closeSSHодељку постоји и линија секвенце коју такође треба да измените.

Морамо да омогућимо кноцкд, па поново отворите уређивач као роот.

nano /etc/default/knockd

Промените 0 у одељку START_KNOCKDу 1, а затим сачувајте и изађите.

Сада почни да куцаш:

service knockd start

Сјајно! Све је инсталирано. Ако прекинете везу са сервером, мораћете да прекинете портове 7000, 8000 и 9000 да бисте се поново повезали.

Корак 3: Хајде да га испробамо

Ако је све исправно инсталирано, не бисте могли да се повежете са својим ССХ сервером.

Можете тестирати лупање порта помоћу телнет клијента.

Корисници Виндовс-а могу покренути телнет из командне линије. Ако телнет није инсталиран, приступите одељку „Програми“ на контролној табли, а затим пронађите „Укључи или искључи функције Виндовс-а“. На панелу са функцијама пронађите „Телнет клијент“ и омогућите га.

У вашем терминалу/командној линији откуцајте:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Урадите све ово за десет секунди, јер је то ограничење наметнуто у конфигурацији. Сада покушајте да се повежете са својим сервером преко ССХ-а. Биће доступно.

Да бисте затворили ССХ сервер, покрените команде обрнутим редоследом.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Закључак

Најбољи део коришћења порта је да ако је конфигурисан уз аутентификацију приватног кључа, практично нема шансе да би неко други могао да уђе осим ако неко не зна портове и приватни кључ.