Захист доступу SSH за допомогою Spiped On OpenBSD

Оскільки доступ SSH є найважливішою точкою входу для адміністрування вашого сервера, він став широко використовуваним вектором атаки.

Основні кроки для захисту SSH включають: вимкнення root-доступу, повне вимкнення аутентифікації пароля (та використання ключів замість цього) і зміна портів (мало пов’язаного з безпекою, за винятком мінімізації звичайних сканерів портів і спаму в журналах).

Наступним кроком буде рішення брандмауера PF із відстеженням з'єднання. Це рішення керуватиме станами з’єднання та блокуватиме будь-який IP-адрес із забагато з’єднань. Це чудово працює і дуже легко зробити за допомогою PF, але демон SSH все ще відкритий для Інтернету.

Як щодо того, щоб зробити SSH повністю недоступним ззовні? Ось де входить spiped . З домашньої сторінки:

Spiped (pronounced "ess-pipe-dee") is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses, so that one may connect to one address (e.g., a UNIX socket on localhost) and transparently have a connection established to another address (e.g., a UNIX socket on a different system). This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.

Чудово! На щастя для нас, він має високоякісний пакет OpenBSD, який виконує всю підготовчу роботу за нас, тому ми можемо почати з його встановлення:

sudo pkg_add spiped

Це також встановлює для нас гарний сценарій ініціалізації, тому ми можемо продовжити і ввімкнути його:

sudo rcctl enable spiped

І нарешті почніть це:

sudo rcctl start spiped

Сценарій ініціалізації гарантує, що для нас створено ключ (який нам знадобиться на локальній машині через деякий час).

Тепер нам потрібно вимкнути sshdпрослуховування публічної адреси, заблокувати порт 22 і дозволити порт 8022 (який за замовчуванням використовується в сценарії spiped init).

Відкрийте /etc/ssh/sshd_configфайл і змініть (і розкоментуйте) ListenAddressрядок для читання 127.0.0.1:

ListenAddress 127.0.0.1

Якщо ви використовуєте правила PF для блокування пор��ів, переконайтеся, що ви передали порт 8022 (і ви можете залишити порт 22 заблокованим), наприклад:

pass in on egress proto tcp from any to any port 8022

Обов’язково перезавантажте правила, щоб вони стали активними:

sudo pfctl -f /etc/pf.conf

Тепер все, що нам потрібно, це скопіювати згенерований шпильований ключ ( /etc/spiped/spiped.key) із сервера на локальну машину та налаштувати нашу конфігурацію SSH, щось у такому вигляді:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

spipe/spipedОчевидно, вам також потрібно встановити його на локальній машині. Якщо ви скопіювали ключ і налаштували імена/шляхи, ви зможете підключитися до цього ProxyCommandрядка у вашому ~/.ssh/configфайлі.

Після того, як ви підтвердите, що він працює, ми можемо перезапустити sshdсервер:

sudo rcctl restart sshd

І це все! Тепер ви повністю усунули один великий вектор атаки, і у вас на одну службу прослуховування в загальнодоступному інтерфейсі менше. Тепер ваші SSH-з’єднання повинні надходити з локального хосту, наприклад:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

Перевага використання Vultr полягає в тому, що кожен Vultr VPS пропонує хороший онлайн-клієнт типу VNC, який ми можемо використовувати на випадок, якщо ми випадково заблокуємо себе. Експериментуйте геть!