Порт стукає на Debian

На даний момент ви, ймовірно, змінили свій порт SSH за замовчуванням. Тим не менш, хакери можуть легко сканувати діапазони портів, щоб виявити цей порт, але за допомогою стуку портів ви можете обдурити сканери портів. Принцип роботи полягає в тому, що ваш клієнт SSH намагається підключитися до послідовності портів, усі з яких відмовляться від вашого з’єднання, але розблокують вказаний порт, який дозволяє ваше з’єднання. Дуже безпечний і простий в установці. Перебування портів є одним із найкращих способів захистити ваш сервер від несанкціонованих спроб підключення по SSH.

Ця стаття навчить вас, як налаштувати стукіт портів. Він був написаний для Debian 7 (Wheezy), але може також працювати на інших версіях Debian та Ubuntu.

Крок 1: Установка необхідних пакетів

Я припускаю, що ви вже встановили сервер SSH. Якщо ви цього не зробили, запустіть такі команди як root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Потім встановіть iptables.

apt-get install iptables

Пакетів для встановлення не так багато – саме це робить його ідеальним рішенням для захисту від спроб грубої сили, а також його легко налаштувати.

Крок 2: Налаштування iptables для використання цієї функції

Оскільки ваш порт SSH закриється після підключення, ми повинні переконатися, що сервер дозволяє вам залишатися на зв’язку, блокуючи інші спроби підключення. Виконайте ці команди на своєму сервері як root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Це дозволить зберегти існуючі з’єднання, але заблокує все інше для вашого порту SSH.

Тепер давайте налаштуємо knockd.

Ось тут і відбувається магія - ви зможете вибрати, які порти потрібно буде вибити спочатку. Відкрийте текстовий редактор для файлу /etc/knockd.conf.

nano /etc/knockd.conf

Буде розділ, який виглядає як наступний блок.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

У цьому розділі ви зможете змінити послідовність портів, які потрібно збити. Наразі ми залишимося з портами 7000, 8000 і 9000. Змініть значення seq_timeout = 5на seq_timeout = 10, а для closeSSHрозділу зробіть те ж саме для seq_timeoutрядка. У розділі також є рядок послідовності, closeSSHякий також потрібно змінити.

Нам потрібно ввімкнути knockd, тому знову відкрийте редактор як root.

nano /etc/default/knockd

Змініть 0 у розділі START_KNOCKDна 1, потім збережіть і вийдіть.

Тепер почніть стукати:

service knockd start

Чудово! Все встановлено. Якщо ви від’єднаєтеся від сервера, вам доведеться збити порти 7000, 8000 і 9000, щоб знову підключитися.

Крок 3: Давайте спробуємо

Якщо все було встановлено правильно, ви не зможете підключитися до свого SSH-сервера.

Ви можете перевірити стукіт портів за допомогою клієнта telnet.

Користувачі Windows можуть запустити telnet з командного рядка. Якщо telnet не встановлено, перейдіть до розділу «Програми» на панелі керування, а потім знайдіть «Увімкнути або вимкнути функції Windows». На панелі функцій знайдіть «Клієнт Telnet» та увімкніть його.

У терміналі/командному рядку введіть:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Зробіть все це за десять секунд, оскільки це обмеження, встановлене в конфігурації. Тепер спробуйте підключитися до вашого сервера через SSH. Він буде доступним.

Щоб закрити сервер SSH, виконайте команди в зворотному порядку.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Висновок

Найкраща частина використання портів полягає в тому, що якщо його налаштовано разом із автентифікацією закритого ключа, практично немає шансів, що хтось інший зможе увійти, якщо хтось не знає порти та закритий ключ.