Eftersom SSH-åtkomst är den viktigaste ingångspunkten för att administrera din server, har den blivit en mycket använd attackvektor.
Grundläggande steg för att säkra SSH inkluderar: inaktivera root-åtkomst, stänga av lösenordsautentisering helt och hållet (och använda nycklar istället) och byta portar (har lite med säkerhet att göra förutom att minimera vanliga portskannrar och logga spam).
Nästa steg skulle vara en PF-brandväggslösning med anslutningsspårning. Denna lösning skulle hantera anslutningstillstånd och blockera alla IP-adresser som har för många anslutningar. Detta fungerar utmärkt och är mycket lätt att göra med PF, men SSH-demonen är fortfarande exponerad för Internet.
Vad sägs om att göra SSH helt otillgängligt utifrån? Det är här spiped kommer in. Från hemsidan:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Bra! Lyckligtvis för oss har det ett OpenBSD-paket av hög kvalitet som gör allt förberedande arbete åt oss, så vi kan börja med att installera det:
sudo pkg_add spiped
Detta installerar också ett trevligt init-skript åt oss, så att vi kan gå vidare och aktivera det:
sudo rcctl enable spiped
Och slutligen börja med det:
sudo rcctl start spiped
Init-skriptet ser till att nyckeln skapas åt oss (vilket vi kommer att behöva på en lokal maskin om ett tag).
Vad vi behöver göra nu är att inaktivera sshdfrån att lyssna på allmän adress, blockera port 22 och tillåta port 8022 (som som standard används i spiped init-skript).
Öppna /etc/ssh/sshd_configfilen och ändra (och avkommentera) ListenAddressraden för att läsa 127.0.0.1:
ListenAddress 127.0.0.1
Om du använder PF-regler för portblockering, se till att passera port 8022 (och du kan lämna port 22 blockerad), t.ex.
pass in on egress proto tcp from any to any port 8022
Se till att ladda om reglerna för att göra den aktiv:
sudo pfctl -f /etc/pf.conf
Nu behöver vi bara kopiera den genererade spipade nyckeln ( /etc/spiped/spiped.key) från servern till en lokal maskin och justera vår SSH-konfiguration, något i stil med följande:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
Du måste ha spipe/spipedinstallerat på en lokal dator också, naturligtvis. Om du har kopierat nyckeln och justerat namnen/sökvägarna, bör du kunna ansluta till den ProxyCommandraden i din ~/.ssh/configfil.
När du har bekräftat att det fungerar kan vi starta om sshdpå en server:
sudo rcctl restart sshd
Och det är allt! Nu har du helt eliminerat en stor attackvektor, och du har en tjänst mindre som lyssnar på ett offentligt gränssnitt. Dina SSH-anslutningar bör nu se ut att ha kommit från localhost, till exempel:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
En fördel med att använda Vultr är att varje Vultr VPS erbjuder en trevlig onlineklient av VNC-typ tillgänglig som vi kan använda om vi av misstag låser oss ute. Experimentera bort!
Använder du ett annat system? Tiny Tiny RSS Reader är en gratis och öppen källkod, webbaserat nyhetsflöde (RSS/Atom) läsare och aggregator, utformad för att
Använder du ett annat system? Wiki.js är en gratis och öppen källkod, modern wiki-app byggd på Node.js, MongoDB, Git och Markdown. Wiki.js källkod är offentlig
Använder du ett annat system? Pagekit 1.0 CMS är ett vackert, modulärt, utbyggbart och lätt, gratis och öppen källkod Content Management System (CMS) med
Använder du ett annat system? MODX Revolution är ett snabbt, flexibelt, skalbart, öppen källkod, Enterprise-grade Content Management System (CMS) skrivet i PHP. Det jag
Den här artikeln leder dig genom att ställa in OpenBSD 5.5 (64-bitars) på KVM med en Vultr VPS. Steg 1. Logga in på Vultr kontrollpanelen. Steg 2. Klicka på DEPLOY
Använder du ett annat system? osTicket är ett biljettsystem för kundsupport med öppen källkod. osTicket källkod är offentligt värd på Github. I denna handledning
Använder du ett annat system? Flarum är en gratis och öppen källkod nästa generations forummjukvara som gör diskussioner online roliga. Flarum källkod är värd o
Använder du ett annat system? TLS 1.3 är en version av TLS-protokollet (Transport Layer Security) som publicerades 2018 som en föreslagen standard i RFC 8446
Inledning WordPress är det dominerande innehållshanteringssystemet på internet. Det driver allt från bloggar till komplexa webbplatser med dynamiskt innehåll
Använder du ett annat system? Subrion 4.1 CMS är ett kraftfullt och flexibelt innehållshanteringssystem (CMS) med öppen källkod som ger ett intuitivt och tydligt innehåll
Denna handledning visar dig hur du konfigurerar en DNS-tjänst som är lätt att underhålla, lätt att konfigurera och som i allmänhet är säkrare än den klassiska BIN
En FEMP-stack, som är jämförbar med en LEMP-stack på Linux, är en samling programvara med öppen källkod som vanligtvis installeras tillsammans för att möjliggöra en FreeBS
MongoDB är en NoSQL-databas i världsklass som ofta används i nyare webbapplikationer. Det ger högpresterande frågor, skärning och replikering
Använder du ett annat system? Monica är ett personligt relationshanteringssystem med öppen källkod. Se det som ett CRM (ett populärt verktyg som används av säljteam i th
Introduktion Denna handledning visar OpenBSD som en e-handelslösning som använder PrestaShop och Apache. Apache krävs eftersom PrestaShop har komplex UR
Använder du ett annat system? Fork är ett CMS med öppen källkod skrivet i PHP. Forks källkod finns på GitHub. Den här guiden visar hur du installerar Fork CM
Använder du ett annat system? Directus 6.4 CMS är ett kraftfullt och flexibelt, gratis och öppen källkod Headless Content Management System (CMS) som tillhandahåller utvecklare
VPS-servrar riktas ofta mot inkräktare. En vanlig typ av attack dyker upp i systemloggar som hundratals obehöriga ssh-inloggningsförsök. Installation
Inledning OpenBSD 5.6 introducerade en ny demon som heter httpd, som stöder CGI (via FastCGI) och TLS. Inget ytterligare arbete behövs för att installera den nya http
Denna handledning kommer att visa dig hur du installerar groupware iRedMail på en ny installation av FreeBSD 10. Du bör använda en server med minst en gigabyte o
Artificiell intelligens är inte i framtiden, det är här i nuet I den här bloggen Läs hur Artificiell intelligens-applikationer har påverkat olika sektorer.
Är du också ett offer för DDOS-attacker och förvirrad över de förebyggande metoderna? Läs den här artikeln för att lösa dina frågor.
Du kanske har hört att hackare tjänar mycket pengar, men har du någonsin undrat hur de tjänar den typen av pengar? låt oss diskutera.
Vill du se revolutionerande uppfinningar av Google och hur dessa uppfinningar förändrade livet för varje människa idag? Läs sedan till bloggen för att se uppfinningar av Google.
Konceptet med att självkörande bilar ska ut på vägarna med hjälp av artificiell intelligens är en dröm vi har ett tag nu. Men trots flera löften finns de ingenstans att se. Läs den här bloggen för att lära dig mer...
När vetenskapen utvecklas i snabb takt och tar över en hel del av våra ansträngningar, ökar också riskerna för att utsätta oss för en oförklarlig singularitet. Läs, vad singularitet kan betyda för oss.
Lagringsmetoderna för data har utvecklats kan vara sedan födelsen av data. Den här bloggen tar upp utvecklingen av datalagring på basis av en infografik.
Läs bloggen för att känna till olika lager i Big Data Architecture och deras funktionaliteter på enklaste sätt.
I denna digitala värld har smarta hemenheter blivit en avgörande del av livet. Här är några fantastiska fördelar med smarta hemenheter om hur de gör vårt liv värt att leva och enklare.
Nyligen släppte Apple macOS Catalina 10.15.4, en tilläggsuppdatering för att åtgärda problem, men det verkar som om uppdateringen orsakar fler problem som leder till att mac-datorer blir murade. Läs den här artikeln för att lära dig mer
