Kif tuża Port Knocking Biex Tiżgura s-Servizz SSH fil-Linux
Port Knocking hija teknika nifty li tikkontrolla l-aċċess għal port billi tippermetti biss aċċess għall-utenti leġittimi għas-servizz li jaħdem fuq server. Jaħdem b'tali mod li meta ssir is-sekwenza t-tajba ta 'tentattivi ta' konnessjoni, il-firewall jiftaħ bil-ferħ il-port li kien magħluq.
Il-loġika wara l-iħabbtu tal-port hija li jiġi żgurat is-servizz SSH. Għal skopijiet ta 'dimostrazzjoni, se nużaw Ubuntu 18.04.
Pass 1: Installa u Ikkonfigura knockd
Biex tibda, idħol fis-sistema Linux tiegħek u installa d-daemon knockd kif muri.
$ sudo apt install knockd
Ladarba tkun installata, iftaħ il-konfigurazzjoni knockd.conf bl-editur tat-test tal-linja tal-kmand vim tiegħek.
$ sudo vim /etc/knockd.conf
Il-fajl tal-konfigurazzjoni default jidher kif ġej.
Taħt is-sezzjoni [openSSH]
, għandna bżonn nibdlu s-sekwenza ta’ knocking default – 7000,8000,9000 – għal xi ħaġa oħra. Dan għaliex dawn il-valuri huma diġà magħrufa u jistgħu jikkompromettu s-sigurtà tas-sistema tiegħek.
Għal skopijiet ta 'ttestjar, waqqafna l-valuri għal 10005, 10006, 10007. Din hija s-sekwenza li se tintuża biex tiftaħ il-port SSH minn sistema klijent.
Fit-tielet linja – tibda bil-kmand, ibdel -A
għal -I
eżatt wara l-kmand /sbin/iptables
u qabel INPUT
.
U fl-aħħar nett, taħt it-taqsima [closeSSH]
, għal darb'oħra, ibdel is-sekwenza default għall-għażla preferuta tiegħek. Din hija s-sekwenza li se tintuża biex tagħlaq il-konnessjoni SSH ladarba l-utent ikun lest u jilloggja mis-server.
Hawn il-konfigurazzjoni sħiħa tagħna.
Ladarba tkun lest, issalva l-bidliet u oħroġ.
Konfigurazzjoni oħra li għandna bżonn nimmodifikaw hija l-/etc/default/knockd. Għal darb'oħra, iftaħha billi tuża l-editur tat-test tiegħek.
$ sudo vim /etc/default/knockd
Sib il-linja START_KNOCKD=0
. Neħħi l-kumment u ssettja l-valur għal 1
.
Sussegwentement, imxi lejn il-linja KNOCKD_OPTS=-i eth1”
Neħħi l-kumment u ibdel il-valur default eth1
bl-interface tan-netwerk attiv tas-sistema tiegħek. Biex tiċċekkja l-interface tan-netwerk tiegħek sempliċement ħaddem il-kmand ifconfig.
Għas-sistema tagħna, enp0s3 hija l-karta tan-netwerk attiva.
Il-konfigurazzjoni sħiħa hija kif murija.
Issejvja l-bidliet u ħruġ.
Imbagħad ibda u ppermetti knockd daemon kif muri.
$ sudo systemctl start knockd $ sudo systemctl enable knockd
Biex tiċċekkja l-istatus ta 'knockd daemon, mexxi l-kmand:
$ sudo systemctl status knockd
Pass 2: Agħlaq SSH Port 22 Fuq Firewall
Peress li l-għan tas-servizz knockd huwa li jagħti jew jiċħad l-aċċess għas-servizz ssh, se nagħlqu l-port ssh fuq il-firewall. Imma l-ewwel, ejja niċċekkjaw l-istatus tal-firewall UFW.
$ sudo ufw status numbered
Mill-output, nistgħu naraw b'mod ċar li l-port SSH 22 huwa miftuħ kemm fuq protokolli IPv4 kif ukoll IPv6 numerati 5 u 9 rispettivament.
Għandna bżonn inħassru dawn iż-żewġ regoli kif muri, nibdew bl-ogħla valur - li huwa 9.
$ sudo ufw delete 9 $ sudo ufw delete 5
Issa, jekk tipprova tidħol mill-bogħod fis-server, ikollok żball ta' timeout tal-konnessjoni kif muri.
Pass 3: Ikkonfigura klijent knock biex Ikkonnettja mas-Server SSH
Fl-aħħar pass, aħna se nikkonfiguraw klijent u nippruvaw nilloggjaw billi l-ewwel nibagħtu s-sekwenza tal-knock li kkonfigurajna fuq is-server.
Imma l-ewwel, installa knockd daemon eżatt kif għamilt fuq is-server.
$ sudo apt install knockd
Ladarba l-installazzjoni titlesta, ibgħat is-sekwenza tal-knock billi tuża s-sintassi murija
$ knock -v server_ip knock_sequence
Fil-każ tagħna, dan jittraduċi għal:
$ knock -v 192.168.2.105 10005 10006 10007
Għandek tikseb output simili għal dak li għandna, skond is-sekwenza tiegħek. Dan juri li t-tentattivi ta’ knock kienu suċċess.
F'dan il-punt, għandek tkun f'pożizzjoni li tidħol b'suċċess fis-server billi tuża SSH.
Ladarba tkun lest tagħmel ix-xogħol tiegħek fuq is-server remot, agħlaq il-port SSH billi tibgħat is-sekwenza tal-knock tal-għeluq.
$ knock -v 192.168.2.105 10007 10006 10005
Kwalunkwe tentattiv biex tidħol fis-server ifalli kif muri.
Dan iġib din il-gwida dwar kif tissaħħaħ il-port knocking biex tiżgura s-servizz SSH fuq is-server tiegħek. Approċċ aħjar u eħfef ikun li jiġi kkonfigurat l-awtentikazzjoni SSH tal-password bl-użu ta' pari ta' ċwievet SSH. Dan jiżgura li l-utent biss biċ-ċavetta privata jista’ jawtentika mas-server li fuqu tkun maħżuna ċ-ċavetta pubblika.