Conas Port Knocking a úsáid ar Ubuntu chun an port SSH a cheilt

Conas Port Knocking a úsáid ar Ubuntu chun an port SSH a cheilt

Tá a fhios agat go léir ar na seanscannáin gangster seo nuair a úsáideann duine Guy seiche cnag ar dhoras a fháil? Is é an bealach calafoirt go díreach é sin, ach amháin le haghaidh do fhreastalaí. Ní ráthóidh athrú ar do bhalla ssh réamhshocraithe nach bhfaighidh tú hacked. Is minic a úsáideann na hackers uirlisí chun scananna uathoibrithe a dhéanamh i gcomhair calafoirt oscailte sula ndéantar ionsaí ar fhreastalaí. Is bealach é Port Knocking trína bhféadann tú féin a chosaint i gcoinne scanóirí calafoirt. Diúltaíonn sé rochtain ar chalafort faoi chosaint go dtí go n-éiríonn le cliant seicheamh calafoirt eile san ord ceart chun cinn.

Tá éasca le húsáid calafoirt ar Ubuntu. Taispeánfaidh mé duit san alt seo conas a leagtar calafoirt agus a shuiteáil. Ba cheart go n-oibreodh na céimeanna ó na ranganna teagaisc seo do Debian 8 freisin.

Céim 1: Déan cinnte go bhfuil na pacáistí riachtanacha uile suiteáilte

Ní reáchtáiltear gach ceann de na horduithe thíos mar úsáideoir fhréamh. Ní mian liom sudo a dhéanamh le gach ordú, mar sin bainim úsáid as:

su sudo

chun bheith ina úsáideoir fréimhe. Is é an chéad chéim ná liostaí pacáiste Ubuntu a thabhairt cothrom le dáta:

Apt-Faigh nuashonrú

Ansin, freastalaí SSH a shuiteáil (mura bhfuil tú suiteáilte cheana féin).

apt-get install openssh-server

Anois, shuiteáil an bhogearra a bhfuil an daemon ann a rialaíonn an cnagadh calafoirt.

apt-get install knockd

Faigh: 1 http://security.debian.org wheezy / updates Release.gpg [1,554 B] Faigh: 2 http://security.debian.org wheezy / updates Release [102 kB] Faigh: 3 http: // slándáil .debian.org wheezy / updates / main amd64 Pacáistí [336 kB] Buail http://mirrors.digitalocean.com wheezy Release.gpg Hit http://mirrors.digitalocean.com wheezy Release Faigh: 4 http: // slándáil. debian.org wheezy / updates / main Aistriúchán-en [195 kB] Hit http://mirrors.digitalocean.com wheezy / main amd64 Pacáistí Buail http://mirrors.digitalocean.com wheezy / main Aistriúchán-en Fuair ​​635 kB in 1s (358 kB / s) Liostaí pacáiste léitheoireachta ... Arna dhéanamh [cosanta ríomhphoist]: ~ # [cosaint ríomhphoist]: ~ # apt-get install openssh-server Liostaí pacáiste Léitheoireachta ... Arna dhéanamh Tógáil crann spleáchais Faisnéis faoin léitheoireacht .. Arna dhéanamh Déanfar na pacáistí breise seo a leanas a shuiteáil: cliant oscailte Pacáistí molta: ssh-askpass libpam-ssh keychain monkeysfhere rssh molly-guard ufw Déanfar uasghrádú ar na pacáistí seo a leanas: freastalaí-fhreastalaí cliant Uasghrádú 2, 0 nua-shuiteáilte, 0 a bhaint agus 32 a uasghrádú. Ní mór 1,364 kB de chartlanna a fháil. Tar éis an oibríocht seo, úsáidfear 0 B de spás diosca breise. Ar mhaith leat leanúint ar aghaidh [Y / n]?

Ansin téigh i Preas Y chun leanúint ar aghaidh.

Suiteáil a leagtar.

Tar éis an pacáiste a shuiteáil, caithfidh tú balla dóiteáin an eithne iptables a shuiteáil. Rith:

apt-get iptables a shuiteáil

Céim 2: Na rialacha a chur le iptables

Gcéad dul síos, déanfaimid na rialacha ballaí dóiteáin atá ann faoi láthair a fheabhsú agus a chinntiú nach dtéann naisc atá ag dul as oifig.

iptables -flush
iptables -t nat -flush
iptables -t mangle -flush
iptables -policy OUTPUT ACCEPT

Ba mhaith linn a chinntiú go gceadaítear gach nasc bunaithe agus seisiúin leanúnach tríd an mballa dóiteáin, ar shlí eile, go gcuirfeadh an balla dóiteáin bac ar an seisiún SSH reatha:

iptables -A INPUT -m conntrack -ctstate BUNÚLÚ, GAOLMHARA -J ACCEPT

nótaí: Níl spásanna ag an riail thuas ar an dá thaobh den choma i STABLISHED, GAOLMHARA.

Ansin bain úsáid as an riail seo a leanas chun calafort nua 22 (SSH) a oscailt:

iptables -A INPUT -p tcp-destination-port 22 -j DROP

Nuair a bheidh tú ag bunú do rialacha iptables, is féidir leat an próiseas a athchóiriú ag athshocrú le iptables-leanúnach. Is féidir linn é seo a íoslódáil ó stór réamhshocraithe Ubuntu:

apt-get install iptables-leanúnach

Is féidir na rialacha iptables reatha a shábháil ar an gcomhad cumraíochta? ? /etc/iptables/rules.v4. Déanfar na rialacha seo a luchtú go huathoibríoch ansin? ? le linn tosaithe an chórais. ? ? ? ? Ní shábhálfar na rialacha ach go huathoibríoch le linn suiteála pacáiste. Féach an? ? leathanach láimhe de iptables-save (8) le haghaidh treoracha maidir leis na rialacha a choinneáil? ? comhad suas chun dáta. ? ? ? ? Sábháil na rialacha IPv4 reatha?
Is féidir na rialacha iptables reatha a shábháil ar an gcomhad cumraíochta? ? /etc/iptables/rules.v6. Déanfar na rialacha seo a luchtú go huathoibríoch ansin? ? le linn tosaithe an chórais. ? ? ? ? Ní shábhálfar na rialacha ach go huathoibríoch le linn suiteála pacáiste. Féach an? ? leathanach láimhe de ip6tables-save (8) le haghaidh treoracha maidir leis na rialacha a choinneáil? ? comhad suas chun dáta. ? ? ? ? Sábháil na rialacha IPv6 reatha?

Suiteáil iptables leanúnach.

IPTables leanúnach, cuid 2

Le linn na suiteála, cuirfidh an clár ar do chumas na rialacha iptables reatha a shábháil (ipV4 agus ipV6), ach roghnaigh Yes don dá rud.

Sábháil an riail atá ann faoi láthair i gcomhad leis an ordú sábháil iptables. Is féidir le iptables an comhad seo a úsáid-a athchóiriú níos déanaí chun an leagan céanna iptables a chur ar ais:

iptables-shábháil

 # Ginithe ag iptables-save v1.4.14 ar Márta Feabhra 23 04: 59: 28 2016 * scagaire: INPUT ACCEPT [1: 40]: AN FHÁIN ACEACHTA [0: 0]: OUTPUT ACCEPT [17: 1976] -A INPUT -m conntrack - -ctstate GAOLMHARAITHE, BUNÚITHE -j ACCEPT -A INPUT -m conntrack --ctstate GAOLMHARAITHE, BUNÚ BUNÚITHE -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j DROP COMMIT # Críochnaithe ar Márta Feabhra 23 04: 59: 28 2016

Anois, beidh tú fós ceangailte le do nasc atá ann cheana agus tú ag bacadh naisc eile ar an gcalafort SSH.

Ina dhiaidh sin, ní mór dúinn knockd a chumrú.

Chun an tseirbhís a chumrú, ní mór dúinn an comhad cumraíochta /etc/knockd.conf a chur in eagar. Oscail an comhad le nano:

nano /etc/knockd.conf

Eagarthóireacht knockd.conf le nano.

Feicfidh tú na hailt a bheidh cosúil leis seo.

[roghanna] Sequence UseSyslog [openSSH] = 7000,8000,9000 seq_timeout = 5 command = / sbin / iptables -A INPUT -s% IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH] sequence = 9000,8000,7000 seq_timeout = 5 ordú = / sbin / iptables -D INPUT -s% IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn
  • Sa rannóg "roghanna", feicimid ainm treoir UseSyslog. logchláir Is léir go soiléir - déanann sé logáil isteach ar gach iarracht cnag
  • Ungerneath, tá dhá roinn againn: openSSH agus closeSSH. Tabharfaidh an chéad cheann deis don bhuaitheoir rochtain a fháil ar an gcalafort 22 (SSH), agus déanfaidh an dara ceann an calafort a dhúnadh nuair a bheidh an cnag i gcrích.
  • is é an t-ionad IP%% go huathoibríoch agus seoladh IP an chliaint a chuir an cnag isteach, ionas gur féidir leat an calafort a oscailt ach amháin leis an gcliant údaraithe.
seicheamh = 9000,8000,7000

Ciallaíonn sé seo go gcomhlíonfaidh an tacar rialacha seo má iarrann an IP céanna nasc ar an gcalafort 7000, agus ansin leanfaidh port 8000 go díreach, agus ansin beidh port 9000 ina dhiaidh sin. Tá sé an-inmholta na calafoirt réamhshocraithe agus a n-ordú a athrú mar is eol do na hionsaitheoirí an t-ordú réamhshocraithe chomh maith.

seq_timeout = 5

Sainmhíníonn an rogha "seq_timeout" i soicind cé chomh fada is atá an t-am agat gach uimhir a chur ar fáil don cnag. Ba cheart go mbeadh an luach réamhshocraithe seo fíneáil agus ní bheidh sé ina cheist má ghineann tú do chraiceáin go huathoibríoch.

command = / sbin / iptables -A INPUT -s% IP% -p tcp --dport 22 -j ACCEPT

Sonraigh an t-ordú a fhorghníomhófar nuair a dhéanann cliant an calafort ceart. Cuirfear seoladh IP an chnáin in ionad gach cás de% IP%.

tcpflags = syn

Tabhair aird ar phaicéid a chaithfear a úsáid chun an bratach seo a shocrú, sa chás seo sin pacáistí. Agus tú ag baint úsáide as bratacha TCP, cuirfidh mé pacáistí ticéad IGNORE nach gcomhlíonann na bratacha.

Anois cuir ar chumas an tsaoil. Cuir an comhad / etc / default / knockd le nano:

nano / etc / default / knockd

agus athrú:

START_KNOCKD = 0

chun

START_KNOCKD = 1

tar éis é seo a shábháil agus scoir. Má tá go leor oiriúnaitheoir líonra agat nó má tá fadhbanna agat nach bhfuil ag tosú go huathoibríoch le linn tosaithe an chórais, is féidir leat an comhéadan gréasáin a shonrú de láimh chun éisteacht leis an dara líne KNOCKD_OPTS gan díchumas agus a leasú.

Ansin, tosú ar shiúl de láimh:

tús le seirbhís

Tosóidh sé seo an daemon agus ligeann duit na tacair rialaithe iptables a athrú trí leagadh ar na sraitheanna de na calafoirt.

Suiteáil tú na pacáistí a cheanglaítear, má dhíscaoilear tú ó do fhreastalaí, go n-athneofar ort na calafoirt a mhínigh tú sa seicheamh ceart a bhunú, nasc SSH a bhunú.

Céim 3: Rochtain ar an bhfreastalaí nuair atá sé ag rith

Má leanann tú na céimeanna thuasluaite, ní bheidh tú in ann teagmháil a dhéanamh leis an bhfreastalaí SSH go díreach gan calafoirt.

Níor chóir duit aon fhreagra a fháil ón bhfreastalaí agus ba chóir go mbeadh an cliant SSH am ar bith. Tá sé seo toisc go bhfuil iptables faoi láthair ag ár ndeamhan SSH. Cineál ctrl-C chun deireadh a chur leis an iarracht SSH mura dtéann sé am amach go huathoibríoch.

Tástáil a dhéanamh le cliant telnet

Do úsáideoirí Linux: Suiteáil an pacáiste telnet le hábhar.

D'úsáideoirí Windows: is féidir leat an cliant Telnet a shuiteáil trí rochtain a fháil ar an rannóg "Cláir", cuardach a dhéanamh ar "Gnéithe na n-fhuinneoga a shábháil ar nó lasmuigh", as an gCliant Telnet a chumasú.

Taispeáin an t-ordú seo a leanas i do ordú go pras (cuir in ionad an t-ord calafoirt le d'ord saincheaptha):

teilifís teilifíse 7000
teilifís teilifíse 8000
teilifís teilifíse 9000

Caithfidh tú seo a dhéanamh i soicind 5 toisc gurb é seo an teorainn ama a fhorchuirtear don chumraíocht. Anois, déan iarracht ceangal a dhéanamh le do fhreastalaí trí SSH. Beidh tú in ann rochtain a fháil ar an nasc.

Rith na horduithe thuas in ord droim ar ais chun an freastalaí SSH a dhúnadh.

teilifís teilifíse 9000
teilifís teilifíse 8000
teilifís teilifíse 7000

Is é an chuid is fearr d'fhonn calafoirt ná gur féidir leat é a chumrú i dteannta an fhíordheimhnithe eochair phríobháideach. Má chruthaíonn tú an dá rud é, níl aon seans ann go bhféadfadh duine rochtain a fháil nó ceangal a dhéanamh go dtí agus mura bhfuil a fhios acu araon na calafoirt agus an eochair phríobháideach.

Post ghaolmhara

Leave a Reply

Úsáideann an suíomh seo Akismet chun spam a laghdú. Foghlaim conas a dhéantar próiseáil ar do chuid tráchta.