Оскільки доступ SSH є найважливішою точкою входу для адміністрування вашого сервера, він став широко використовуваним вектором атаки.
Основні кроки для захисту SSH включають: вимкнення root-доступу, повне вимкнення аутентифікації пароля (та використання ключів замість цього) і зміна портів (мало пов’язаного з безпекою, за винятком мінімізації звичайних сканерів портів і спаму в журналах).
Наступним кроком буде рішення брандмауера PF із відстеженням з'єднання. Це рішення керуватиме станами з’єднання та блокуватиме будь-який IP-адрес із забагато з’єднань. Це чудово працює і дуже легко зробити за допомогою PF, але демон SSH все ще відкритий для Інтернету.
Як щодо того, щоб зробити SSH повністю недоступним ззовні? Ось де входить spiped . З домашньої сторінки:
Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
Чудово! На щастя для нас, він має високоякісний пакет OpenBSD, який виконує всю підготовчу роботу за нас, тому ми можемо почати з його встановлення:
sudo pkg_add spiped
Це також встановлює для нас гарний сценарій ініціалізації, тому ми можемо продовжити і ввімкнути його:
sudo rcctl enable spiped
І нарешті почніть це:
sudo rcctl start spiped
Сценарій ініціалізації гарантує, що для нас створено ключ (який нам знадобиться на локальній машині через деякий час).
Тепер нам потрібно вимкнути sshdпрослуховування публічної адреси, заблокувати порт 22 і дозволити порт 8022 (який за замовчуванням використовується в сценарії spiped init).
Відкрийте /etc/ssh/sshd_configфайл і змініть (і розкоментуйте) ListenAddressрядок для читання 127.0.0.1:
ListenAddress 127.0.0.1
Якщо ви використовуєте правила PF для блокування пор��ів, переконайтеся, що ви передали порт 8022 (і ви можете залишити порт 22 заблокованим), наприклад:
pass in on egress proto tcp from any to any port 8022
Обов’язково перезавантажте правила, щоб вони стали активними:
sudo pfctl -f /etc/pf.conf
Тепер все, що нам потрібно, це скопіювати згенерований шпильований ключ ( /etc/spiped/spiped.key) із сервера на локальну машину та налаштувати нашу конфігурацію SSH, щось у такому вигляді:
Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key
spipe/spipedОчевидно, вам також потрібно встановити його на локальній машині. Якщо ви скопіювали ключ і налаштували імена/шляхи, ви зможете підключитися до цього ProxyCommandрядка у вашому ~/.ssh/configфайлі.
Після того, як ви підтвердите, що він працює, ми можемо перезапустити sshdсервер:
sudo rcctl restart sshd
І це все! Тепер ви повністю усунули один великий вектор атаки, і у вас на одну службу прослуховування в загальнодоступному інтерфейсі менше. Тепер ваші SSH-з’єднання повинні надходити з локального хосту, наприклад:
username ttyp0 localhost Thu Nov 06 07:58 still logged in
Перевага використання Vultr полягає в тому, що кожен Vultr VPS пропонує хороший онлайн-клієнт типу VNC, який ми можемо використовувати на випадок, якщо ми випадково заблокуємо себе. Експериментуйте геть!
Використання іншої системи? Tiny Tiny RSS Reader — це безкоштовний зчитувач і агрегатор новин (RSS/Atom) із відкритим вихідним кодом, що розміщується на власному веб-сторінці.
Використання іншої системи? Wiki.js — це безкоштовний сучасний вікі-додаток з відкритим вихідним кодом, побудований на Node.js, MongoDB, Git і Markdown. Вихідний код Wiki.js є публічним
Використання іншої системи? Pagekit 1.0 CMS – це красива, модульна, розширювана та легка, безкоштовна система керування вмістом (CMS) з відкритим вихідним кодом.
Використання іншої системи? MODX Revolution — це швидка, гнучка, масштабована система управління вмістом (CMS) корпоративного рівня з відкритим кодом, написана на PHP. Це я
У цій статті ви дізнаєтеся, як налаштувати OpenBSD 5.5 (64-розрядна версія) на KVM за допомогою Vultr VPS. Крок 1. Увійдіть в панель керування Vultr. Крок 2. Натисніть РОЗВЕРНУТИ
Використання іншої системи? osTicket — це система продажу квитків з відкритим вихідним кодом. Вихідний код osTicket відкрито розміщено на Github. У цьому підручнику
Використання іншої системи? Flarum — це безкоштовне програмне забезпечення нового покоління з відкритим вихідним кодом, яке робить онлайн-обговорення веселими. Вихідний код Flarum розміщений o
Використання іншої системи? TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446.
Вступ WordPress є домінуючою системою керування вмістом в Інтернеті. Він забезпечує все, від блогів до складних веб-сайтів із динамічним вмістом
Використання іншої системи? Subrion 4.1 CMS — це потужна та гнучка система керування вмістом із відкритим кодом (CMS), яка забезпечує інтуїтивно зрозумілий та зрозумілий вміст
Цей підручник покаже вам, як налаштувати службу DNS, яку легко підтримувати, легко налаштовувати і яка, як правило, є більш безпечною, ніж класичний BIN
Стек FEMP, який можна порівняти зі стеком LEMP в Linux, являє собою набір програмного забезпечення з відкритим вихідним кодом, яке зазвичай встановлюється разом для забезпечення FreeBS
MongoDB — це база даних NoSQL світового класу, яка часто використовується в нових веб-додатках. Він забезпечує високопродуктивні запити, шардінг та реплікацію
Використання іншої системи? Monica — це відкрита система управління особистими відносинами. Подумайте про це як про CRM (популярний інструмент, який використовується відділами продажів у м
Вступ У цьому підручнику демонструється OpenBSD як рішення для електронної комерції з використанням PrestaShop і Apache. Apache потрібен, оскільки PrestaShop має складну UR
Використання іншої системи? Fork — це CMS з відкритим кодом, написана на PHP. Вихідний код Forks розміщено на GitHub. Цей посібник покаже вам, як встановити Fork CM
Використання іншої системи? Directus 6.4 CMS — це потужна та гнучка, безкоштовна система керування вмістом без голови (CMS) з відкритим вихідним кодом, яка надає розробнику
Сервери VPS часто стають мішенню зловмисників. Поширений тип атаки відображається в системних журналах у вигляді сотень несанкціонованих спроб входу через ssh. Налаштовуючи
Вступ OpenBSD 5.6 представив новий демон під назвою httpd, який підтримує CGI (через FastCGI) і TLS. Для встановлення нового http не потрібно додатково працювати
Цей підручник покаже вам, як встановити групове програмне забезпечення iRedMail на нову інсталяцію FreeBSD 10. Ви повинні використовувати сервер з принаймні одним гігабайтом o
Штучний інтелект не в майбутньому, він тут прямо в сьогоденні У цьому блозі Прочитайте, як програми штучного інтелекту вплинули на різні сектори.
Ви також стали жертвою DDOS-атак і спантеличені методами запобігання? Прочитайте цю статтю, щоб вирішити свої запитання.
Можливо, ви чули, що хакери заробляють багато грошей, але чи замислювалися ви коли-небудь, як вони заробляють такі гроші? давайте обговоримо.
Ви хочете побачити революційні винаходи Google і як ці винаходи змінили життя кожної людини сьогодні? Тоді читайте в блозі, щоб побачити винаходи Google.
Концепція самокерованих автомобілів, щоб вирушати в дороги за допомогою штучного інтелекту, є мрією, яку ми давно мріємо. Але, незважаючи на кілька обіцянок, їх ніде не видно. Прочитайте цей блог, щоб дізнатися більше…
Оскільки наука розвивається швидкими темпами, бере на себе багато наших зусиль, ризики піддати себе незрозумілій Сингулярності також зростає. Читайте, що може означати для нас сингулярність.
Методи зберігання даних можуть розвиватися з моменту народження Даних. Цей блог висвітлює еволюцію зберігання даних на основі інфографіки.
Прочитайте блог, щоб дізнатися про різні шари архітектури великих даних та їх функціональні можливості найпростішим способом.
У цьому цифровому світі пристрої розумного дому стали важливою частиною життя. Ось кілька дивовижних переваг пристроїв розумного дому щодо того, як вони роблять наше життя гідним життя та спрощують його.
Нещодавно Apple випустила додаткове оновлення macOS Catalina 10.15.4, щоб виправити проблеми, але схоже, що оновлення викликає більше проблем, що призводять до блокування комп’ютерів Mac. Прочитайте цю статтю, щоб дізнатися більше
