Hur man säkrar SSH ytterligare med en port-knackande sekvens på Ubuntu 18.04

Introduktion

Förutom att ändra standardporten för SSH och använda ett nyckelpar för autentisering, kan portknackning användas för att ytterligare säkra (eller mer exakt, dölja) din SSH-server. Det fungerar genom att neka anslutningar till din SSH-nätverksport. Detta döljer i huvudsak det faktum att du kör en SSH-server tills en sekvens av anslutningsförsök görs till fördefinierade portar. Mycket säker och enkel att implementera, portknackning är ett av de bästa sätten att skydda din server från skadliga SSH-anslutningsförsök.

Förutsättningar

• En Vultr-server som kör Ubuntu 18.04.
• Sudo tillgång.

Innan du följer stegen nedan, om du inte är inloggad som root-användare, skaffa ett tillfälligt rotskal genom att köra sudo -ioch ange ditt lösenord. Alternativt kan du lägga sudotill kommandona som visas i den här artikeln.

Steg 1: Knockd installation

Knockd är paketet som används i kombination med iptables för att implementera portknackning på din server. iptables-persistentPaketet ' ' krävs också.

apt update
apt install -y knockd iptables-persistent

Steg 2: iptables regler

Kör följande kommandon i ordning:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Dessa kommandon kommer att göra följande, respektive:

• Instruera iptables att hålla befintliga anslutningar vid liv.
• Instruera iptables att avbryta alla anslutningar till port tcp/22 (om din SSH-demon lyssnar på en annan port än 22, bör du ändra kommandot ovan i enlighet med detta.)
• Spara dessa två regler så att de kvarstår efter en omstart.

Steg 3: Knockd-konfiguration

Använd en valfri textredigerare för att öppna filen /etc/knockd.conf.

Du kommer att se följande:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Du bör ändra sekvensen av portar (välj portnummer ovan 1024och oanvända av andra tjänster) och lagra det säkert. Denna kombination bör behandlas som ett lösenord. Om du glömmer det kommer du att förlora åtkomsten till SSH. Vi kommer att hänvisa till denna nya sekvens som x,y,z.

den seq-timeoutlinjen är antalet sekunder knockd kommer att vänta för kunden att slutföra port-knackar sekvens. Det skulle vara en bra idé att ändra detta till något större, speciellt om portknackningen kommer att göras manuellt. Ett mindre timeoutvärde är dock säkrare. Det 15rekommenderas att ändra det till eftersom vi kommer att knacka manuellt i denna handledning.

Ändra öppningssekvensen till dina valda portar:

[openSSH]
sequence    = x,y,z

Ändra kommandovärdet till följande:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Ändra nu avslutningssekvensen i enlighet med detta:

[closeSSH]
sequence    = z,y,x

Spara dina ändringar och avsluta och öppna filen /etc/default/knockd:

• Ersätt START_KNOCKD=0med START_KNOCKD=1.
• Lägg till följande rad i slutet av filen: KNOCKD_OPTS="-i ens3"(ersätt ens3med namnet på ditt offentliga nätverksgränssnitt om det skiljer sig.)
• Spara och avsluta.

Börja nu Knockd:

systemctl start knockd

Om du nu koppla från din server, måste du slå på portarna x, yoch zatt ansluta igen.

Steg 4: Testning

Du kommer nu inte att kunna ansluta till din SSH-server.

Du kan testa portknackning med en telnet-klient.

Windows-användare kan starta telnet från kommandotolken. Om telnet inte är installerat, gå till avsnittet "Program" på Kontrollpanelen och leta reda på "Slå på eller av Windows-funktioner". På funktionspanelen, leta reda på "Telnet Client" och aktivera den.

Skriv följande i din terminal/kommandotolk:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Gör allt detta på femton sekunder, eftersom det är gränsen för konfigurationen. Försök nu att ansluta till din server via SSH. Det kommer att vara tillgängligt.

För att stänga åtkomsten till SSH-servern, kör kommandona i omvänd ordning.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Slutsats

Det bästa med att använda portknackning är att om det är konfigurerat tillsammans med autentisering av privat nyckel, finns det praktiskt taget ingen chans att någon annan kan komma in om inte någon kände till din portknackningssekvens och hade din privata nyckel.