Як ще більше захистити SSH за допомогою послідовності перемикання портів в Ubuntu 18.04

Вступ

Окрім зміни порту за замовчуванням для SSH та використання пари ключів для аутентифікації, перебір портів можна використовувати для подальшого захисту (або, точніше, приховування) вашого SSH-сервера. Він працює, відмовляючись від підключення до вашого мережевого порту SSH. Це, по суті, приховує той факт, що ви використовуєте сервер SSH, поки не буде зроблено послідовність спроб підключення до попередньо визначених портів. Дуже безпечний і простий у реалізації, перебір портів є одним із найкращих способів захистити ваш сервер від зловмисних спроб підключення SSH.

Передумови

• Сервер Vultr під керуванням Ubuntu 18.04.
• Доступ до Sudo.

Перш ніж виконувати наведені нижче дії, якщо ви не ввійшли як користувач root, будь ласка, отримайте тимчасову оболонку root, запустивши sudo -iта ввівши свій пароль. Крім того, ви можете додати sudoдо команд, показаних у цій статті.

Крок 1: Установка Knockd

Knockd — це пакунок, який використовується в поєднанні з iptables для реалізації стуку портів на вашому сервері. iptables-persistentТакож необхідний пакет « ».

apt update
apt install -y knockd iptables-persistent

Крок 2: правила iptables

Виконайте такі команди по порядку:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables-save > /etc/iptables/rules.v4

Ці команди виконуватимуть такі дії відповідно:

• Доручіть iptables підтримувати існуючі з’єднання.
• Доручіть iptables відкинути будь-яке підключення до порту tcp/22 (якщо ваш демон SSH прослуховує порт, відмінний від 22, вам слід відповідно змінити наведену вище команду).
• Збережіть ці два правила, щоб вони зберігалися після перезавантаження.

Крок 3: Конфігурація Knockd

За допомогою текстового редактора на ваш вибір відкрийте файл /etc/knockd.conf.

Ви побачите наступне:

[openSSH]
sequence    = 7000,8000,9000
seq_timeout = 5
command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags    = syn

Вам слід змінити послідовність портів (виберіть номери портів вище 1024та не використовувані іншими службами) та безпечно зберігайте їх. Цю комбінацію слід розглядати як пароль. Якщо ви забудете, ви втратите доступ до SSH. Ми будемо називати цю нову послідовність як x,y,z.

seq-timeoutлінія кількість секунд Knockd чекатиме клієнта , щоб завершити послідовність портів-стук. Було б гарною ідеєю змінити це на щось більше, особливо якщо переміщення портів буде виконуватися вручну. Однак менше значення тайм-ауту безпечніше. Рекомендується змінити його на 15, оскільки в цьому підручнику ми будемо стукати вручну.

Змініть послідовність відкриття вибраних портів:

[openSSH]
sequence    = x,y,z

Змініть значення команди на таке:

command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Тепер змініть послідовність закриття відповідно:

[closeSSH]
sequence    = z,y,x

Збережіть зміни та вийдіть, а потім відкрийте файл /etc/default/knockd:

• Замінити START_KNOCKD=0на START_KNOCKD=1.
• Додайте наступний рядок у кінець файлу: KNOCKD_OPTS="-i ens3"(замініть ens3ім’ям вашого загальнодоступного мережевого інтерфейсу, якщо воно відрізняється.)
• Збережіть і вийдіть.

Тепер запустіть Knockd:

systemctl start knockd

Якщо ви зараз від’єднаєтеся від свого сервера, вам доведеться натиснути на порти x, y, і zпідключитися знову.

Крок 4: Тестування

Тепер ви не зможете підключитися до свого SSH-сервера.

Ви можете перевірити стукіт портів за допомогою клієнта telnet.

Користувачі Windows можуть запустити telnet з командного рядка. Якщо telnet не встановлено, перейдіть до розділу «Програми» на панелі керування, а потім знайдіть «Увімкнути або вимкнути функції Windows». На панелі функцій знайдіть «Клієнт Telnet» та увімкніть його.

У своєму терміналі/командному рядку введіть наступне:

telnet youripaddress x
telnet youripaddress y
telnet youripaddress z

Зробіть все це за п’ятнадцять секунд, оскільки це обмеження, встановлене в конфігурації. Тепер спробуйте підключитися до вашого сервера через SSH. Він буде доступним.

Щоб закрити доступ до сервера SSH, виконайте команди в зворотному порядку.

telnet youripaddress z
telnet youripaddress y
telnet youripaddress z

Висновок

Найкраща частина використання порту стукання полягає в тому, що якщо його налаштовано разом із автентифікацією закритого ключа, практично немає шансів, що хтось інший зможе увійти, якщо хтось не знає вашу послідовність стукання портів і не має ваш закритий ключ.