Skydda SSH-åtkomst med Spiped On OpenBSD

Eftersom SSH-åtkomst är den viktigaste ingångspunkten för att administrera din server, har den blivit en mycket använd attackvektor.

Grundläggande steg för att säkra SSH inkluderar: inaktivera root-åtkomst, stänga av lösenordsautentisering helt och hållet (och använda nycklar istället) och byta portar (har lite med säkerhet att göra förutom att minimera vanliga portskannrar och logga spam).

Nästa steg skulle vara en PF-brandväggslösning med anslutningsspårning. Denna lösning skulle hantera anslutningstillstånd och blockera alla IP-adresser som har för många anslutningar. Detta fungerar utmärkt och är mycket lätt att göra med PF, men SSH-demonen är fortfarande exponerad för Internet.

Vad sägs om att göra SSH helt otillgängligt utifrån? Det är här spiped kommer in. Från hemsidan:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Bra! Lyckligtvis för oss har det ett OpenBSD-paket av hög kvalitet som gör allt förberedande arbete åt oss, så vi kan börja med att installera det:

sudo pkg_add spiped

Detta installerar också ett trevligt init-skript åt oss, så att vi kan gå vidare och aktivera det:

sudo rcctl enable spiped

Och slutligen börja med det:

sudo rcctl start spiped

Init-skriptet ser till att nyckeln skapas åt oss (vilket vi kommer att behöva på en lokal maskin om ett tag).

Vad vi behöver göra nu är att inaktivera sshdfrån att lyssna på allmän adress, blockera port 22 och tillåta port 8022 (som som standard används i spiped init-skript).

Öppna /etc/ssh/sshd_configfilen och ändra (och avkommentera) ListenAddressraden för att läsa 127.0.0.1:

ListenAddress 127.0.0.1

Om du använder PF-regler för portblockering, se till att passera port 8022 (och du kan lämna port 22 blockerad), t.ex.

pass in on egress proto tcp from any to any port 8022

Se till att ladda om reglerna för att göra den aktiv:

sudo pfctl -f /etc/pf.conf

Nu behöver vi bara kopiera den genererade spipade nyckeln ( /etc/spiped/spiped.key) från servern till en lokal maskin och justera vår SSH-konfiguration, något i stil med följande:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

Du måste ha spipe/spipedinstallerat på en lokal dator också, naturligtvis. Om du har kopierat nyckeln och justerat namnen/sökvägarna, bör du kunna ansluta till den ProxyCommandraden i din ~/.ssh/configfil.

När du har bekräftat att det fungerar kan vi starta om sshdpå en server:

sudo rcctl restart sshd

Och det är allt! Nu har du helt eliminerat en stor attackvektor, och du har en tjänst mindre som lyssnar på ett offentligt gränssnitt. Dina SSH-anslutningar bör nu se ut att ha kommit från localhost, till exempel:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

En fördel med att använda Vultr är att varje Vultr VPS erbjuder en trevlig onlineklient av VNC-typ tillgänglig som vi kan använda om vi av misstag låser oss ute. Experimentera bort!