Kif tuża Port Knocking Biex Tiżgura s-Servizz SSH fil-Linux

Port Knocking hija teknika nifty li tikkontrolla l-aċċess għal port billi tippermetti biss aċċess għall-utenti leġittimi għas-servizz li jaħdem fuq server. Jaħdem b'tali mod li meta ssir is-sekwenza t-tajba ta 'tentattivi ta' konnessjoni, il-firewall jiftaħ bil-ferħ il-port li kien magħluq.

Il-loġika wara l-iħabbtu tal-port hija li jiġi żgurat is-servizz SSH. Għal skopijiet ta 'dimostrazzjoni, se nużaw Ubuntu 18.04.

Pass 1: Installa u Ikkonfigura knockd

Biex tibda, idħol fis-sistema Linux tiegħek u installa d-daemon knockd kif muri.

$ sudo apt install knockd

Ladarba tkun installata, iftaħ il-konfigurazzjoni knockd.conf bl-editur tat-test tal-linja tal-kmand vim tiegħek.

$ sudo vim /etc/knockd.conf

Il-fajl tal-konfigurazzjoni default jidher kif ġej.

Taħt is-sezzjoni [openSSH], għandna bżonn nibdlu s-sekwenza ta’ knocking default – 7000,8000,9000 – għal xi ħaġa oħra. Dan għaliex dawn il-valuri huma diġà magħrufa u jistgħu jikkompromettu s-sigurtà tas-sistema tiegħek.

Għal skopijiet ta 'ttestjar, waqqafna l-valuri għal 10005, 10006, 10007. Din hija s-sekwenza li se tintuża biex tiftaħ il-port SSH minn sistema klijent.

Fit-tielet linja – tibda bil-kmand, ibdel -A għal -I eżatt wara l-kmand /sbin/iptables u qabel INPUT .

U fl-aħħar nett, taħt it-taqsima [closeSSH], għal darb'oħra, ibdel is-sekwenza default għall-għażla preferuta tiegħek. Din hija s-sekwenza li se tintuża biex tagħlaq il-konnessjoni SSH ladarba l-utent ikun lest u jilloggja mis-server.

Hawn il-konfigurazzjoni sħiħa tagħna.

Ladarba tkun lest, issalva l-bidliet u oħroġ.

Konfigurazzjoni oħra li għandna bżonn nimmodifikaw hija l-/etc/default/knockd. Għal darb'oħra, iftaħha billi tuża l-editur tat-test tiegħek.

$ sudo vim /etc/default/knockd

Sib il-linja START_KNOCKD=0. Neħħi l-kumment u ssettja l-valur għal 1.

Sussegwentement, imxi lejn il-linja KNOCKD_OPTS=-i eth1” Neħħi l-kumment u ibdel il-valur default eth1 bl-interface tan-netwerk attiv tas-sistema tiegħek. Biex tiċċekkja l-interface tan-netwerk tiegħek sempliċement ħaddem il-kmand ifconfig.

Għas-sistema tagħna, enp0s3 hija l-karta tan-netwerk attiva.

Il-konfigurazzjoni sħiħa hija kif murija.

Issejvja l-bidliet u ħruġ.

Imbagħad ibda u ppermetti knockd daemon kif muri.

$ sudo systemctl start knockd
$ sudo systemctl enable knockd

Biex tiċċekkja l-istatus ta 'knockd daemon, mexxi l-kmand:

$ sudo systemctl status knockd

Pass 2: Agħlaq SSH Port 22 Fuq Firewall

Peress li l-għan tas-servizz knockd huwa li jagħti jew jiċħad l-aċċess għas-servizz ssh, se nagħlqu l-port ssh fuq il-firewall. Imma l-ewwel, ejja niċċekkjaw l-istatus tal-firewall UFW.

$ sudo ufw status numbered

Mill-output, nistgħu naraw b'mod ċar li l-port SSH 22 huwa miftuħ kemm fuq protokolli IPv4 kif ukoll IPv6 numerati 5 u 9 rispettivament.

Għandna bżonn inħassru dawn iż-żewġ regoli kif muri, nibdew bl-ogħla valur - li huwa 9.

$ sudo ufw delete 9
$ sudo ufw delete 5

Issa, jekk tipprova tidħol mill-bogħod fis-server, ikollok żball ta' timeout tal-konnessjoni kif muri.

Pass 3: Ikkonfigura klijent knock biex Ikkonnettja mas-Server SSH

Fl-aħħar pass, aħna se nikkonfiguraw klijent u nippruvaw nilloggjaw billi l-ewwel nibagħtu s-sekwenza tal-knock li kkonfigurajna fuq is-server.

Imma l-ewwel, installa knockd daemon eżatt kif għamilt fuq is-server.

$ sudo apt install knockd

Ladarba l-installazzjoni titlesta, ibgħat is-sekwenza tal-knock billi tuża s-sintassi murija

$ knock -v server_ip knock_sequence

Fil-każ tagħna, dan jittraduċi għal:

$ knock -v 192.168.2.105 10005 10006 10007

Għandek tikseb output simili għal dak li għandna, skond is-sekwenza tiegħek. Dan juri li t-tentattivi ta’ knock kienu suċċess.

F'dan il-punt, għandek tkun f'pożizzjoni li tidħol b'suċċess fis-server billi tuża SSH.

Ladarba tkun lest tagħmel ix-xogħol tiegħek fuq is-server remot, agħlaq il-port SSH billi tibgħat is-sekwenza tal-knock tal-għeluq.

$ knock -v 192.168.2.105 10007 10006 10005

Kwalunkwe tentattiv biex tidħol fis-server ifalli kif muri.

Dan iġib din il-gwida dwar kif tissaħħaħ il-port knocking biex tiżgura s-servizz SSH fuq is-server tiegħek. Approċċ aħjar u eħfef ikun li jiġi kkonfigurat l-awtentikazzjoni SSH tal-password bl-użu ta' pari ta' ċwievet SSH. Dan jiżgura li l-utent biss biċ-ċavetta privata jista’ jawtentika mas-server li fuqu tkun maħżuna ċ-ċavetta pubblika.