Port Knocking på Debian

Vid det här laget har du förmodligen ändrat din standard SSH-port. Ändå kan hackare enkelt skanna portintervall för att upptäcka den porten - men med portknackning kan du lura portskannrar. Hur det fungerar är att din SSH-klient försöker ansluta till en sekvens av portar, som alla kommer att neka din anslutning, men låsa upp en specificerad port som tillåter din anslutning. Mycket säker och enkel att installera. Portknackning är ett av de bästa sätten att skydda din server från obehöriga SSH-anslutningsförsök.

Den här artikeln kommer att lära dig hur du ställer in portknackning. Det skrevs för Debian 7 (Wheezy), men kan även fungera på andra versioner av Debian och Ubuntu.

Steg 1: Installera de nödvändiga paketen

Jag antar att du redan har installerat en SSH-server. Om du inte har gjort det, kör följande kommandon som root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Installera sedan iptables.

apt-get install iptables

Det finns inte många paket att installera - det är det som gör den till den perfekta lösningen för att skydda mot brute force-försök samtidigt som den är enkel att installera.

Steg 2: Konfigurera iptables för att använda den här funktionen

Eftersom din SSH-port stängs efter att du har anslutit, måste vi se till att servern tillåter dig att vara ansluten samtidigt som andra anslutningsförsök blockeras. Utför dessa kommandon på din server som root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Detta kommer att tillåta befintliga anslutningar att finnas kvar, men blockera allt annat till din SSH-port.

Låt oss nu konfigurera knockd.

Det är här magin händer - du kommer att kunna välja vilka portar som måste knackas först. Öppna en textredigerare för filen /etc/knockd.conf.

nano /etc/knockd.conf

Det kommer att finnas ett avsnitt som ser ut som följande block.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

I det här avsnittet kommer du att kunna ändra sekvensen av portar som måste knackas. Än så länge stannar vi med portarna 7000, 8000 och 9000. Ändra seq_timeout = 5till seq_timeout = 10och för closeSSHsektionen, gör samma sak för seq_timeoutlinjen. Det finns också en sekvensrad i closeSSHavsnittet som du också måste ändra.

Vi måste aktivera knockd, så öppna din editor som root igen.

nano /etc/default/knockd

Ändra 0:an i avsnittet START_KNOCKDtill 1, spara sedan och avsluta.

Börja nu knockd:

service knockd start

Bra! Allt är installerat. Om du kopplar bort från din server måste du knacka portarna 7000, 8000 och 9000 för att ansluta igen.

Steg 3: Låt oss prova det

Om allt var korrekt installerat borde du inte kunna ansluta till din SSH-server.

Du kan testa portknackning med en telnet-klient.

Windows-användare kan starta telnet från kommandotolken. Om telnet inte är installerat, gå till avsnittet "Program" på Kontrollpanelen och leta reda på "Slå på eller av Windows-funktioner". På funktionspanelen, leta reda på "Telnet Client" och aktivera den.

I din terminal/kommandotolk skriver du:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Gör allt detta på tio sekunder, eftersom det är gränsen i konfigurationen. Försök nu att ansluta till din server via SSH. Det kommer att vara tillgängligt.

För att stänga SSH-servern, kör kommandona i omvänd ordning.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Slutsats

Det bästa med att använda portknackning är att om det är konfigurerat tillsammans med autentisering av privat nyckel, finns det praktiskt taget ingen chans att någon annan kan komma in om inte någon kände till portarna och den privata nyckeln.