Giunsa Paggamit ang Port Knocking Aron Masiguro ang Serbisyo sa SSH sa Linux


Ang Port Knocking usa ka maayo nga teknik sa pagkontrol sa pag-access sa usa ka pantalan pinaagi lamang sa pagtugot sa mga lehitimong tiggamit nga maka-access sa serbisyo nga nagdagan sa usa ka server. Naglihok kini sa paagi nga kung ang husto nga pagkasunod-sunod sa mga pagsulay sa koneksyon gihimo, ang firewall malipayong nagbukas sa pantalan nga gisirhan.

Ang lohika sa likod sa pagtuktok sa pantalan mao ang pagsiguro sa serbisyo sa SSH. Alang sa mga katuyoan sa demonstrasyon, among gamiton ang Ubuntu 18.04.

Lakang 1: I-install ug I-configure ang knockd

Aron makasugod, pag-log in sa imong Linux system ug i-install ang knockd daemon sama sa gipakita.

$ sudo apt install knockd

Sa higayon nga ma-install, ablihi ang knockd.conf configuration gamit ang imong vim command-line text editor.

$ sudo vim /etc/knockd.conf

Ang default configuration file makita sama sa mosunod.

Ubos sa [openSSH] nga seksyon, kinahanglan natong usbon ang default nga han-ay sa pagtuktok – 7000,8000,9000 – ngadto sa laing butang. Kini tungod kay kini nga mga kantidad nahibal-an na ug mahimong ikompromiso ang seguridad sa imong sistema.

Alang sa mga katuyoan sa pagsulay, among gibutang ang mga kantidad sa 10005, 10006, 10007. Kini ang han-ay nga gamiton sa pag-abli sa SSH port gikan sa sistema sa kliyente.

Sa ikatulong linya – sugod sa command, usba ang -A ngadto sa -I human lang sa /sbin/iptables command ug sa dili pa ang INPUT .

Ug sa kataposan, ubos sa [closeSSH] nga seksyon, pag-usab, usba ang default sequence sa imong gusto nga pagpili. Kini ang han-ay nga gamiton sa pagsira sa koneksyon sa SSH sa higayon nga ang user mahuman ug mag log out sa server.

Ania ang among kompleto nga pag-configure.

Kung nahuman na ka, i-save ang mga pagbag-o ug paggawas.

Ang laing configuration nga kinahanglan natong usbon mao ang /etc/default/knockd. Sa makausa pa, ablihi kini gamit ang imong text editor.

$ sudo vim /etc/default/knockd

Pangitaa ang linya START_KNOCKD=0. I-uncomment kini ug i-set ang value sa 1.

Sunod, adto sa linya KNOCKD_OPTS=”-i eth1” Uncomment niini ug ilisan ang default eth1 value sa aktibong network interface sa imong system. Aron masusi ang imong interface sa network padagana lang ang ifconfig command.

Alang sa among sistema, ang enp0s3 mao ang aktibo nga network card.

Ang kompleto nga pag-configure sama sa gipakita.

I-save ang mga pagbag-o ug paggawas.

Dayon sugdi ug i-enable ang knockd daemon sama sa gipakita.

$ sudo systemctl start knockd
$ sudo systemctl enable knockd

Aron masusi ang kahimtang sa knockd daemon, padagana ang sugo:

$ sudo systemctl status knockd

Lakang 2: Isira ang SSH Port 22 Sa Firewall

Tungod kay ang tumong sa knockd nga serbisyo mao ang paghatag o pagdumili sa pag-access sa ssh nga serbisyo, atong isira ang ssh port sa firewall. Apan una, atong susihon ang kahimtang sa UFW firewall.

$ sudo ufw status numbered

Gikan sa output, tin-aw natong makita nga ang SSH port 22 bukas sa IPv4 ug IPv6 protocol nga gi-numero nga 5 ug 9 matag usa.

Kinahanglan natong papason kining duha ka mga lagda sama sa gipakita, sugod sa pinakataas nga bili - nga mao ang 9.

$ sudo ufw delete 9
$ sudo ufw delete 5

Karon, kung mosulay ka sa pag-log in sa layo sa server, makakuha ka usa ka sayup sa oras sa koneksyon sama sa gipakita.

Lakang 3: I-configure ang usa ka knock client sa Sumpaysumpaya sa SSH Server

Sa katapusang lakang, mag-configure kami sa usa ka kliyente ug mosulay sa pag-log in pinaagi sa una nga pagpadala sa han-ay sa pagtuktok nga among gi-configure sa server.

Apan una, i-install ang knockd daemon sama sa imong gibuhat sa server.

$ sudo apt install knockd

Kung kompleto na ang pag-install, ipadala ang han-ay sa pagtuktok gamit ang gipakita nga syntax

$ knock -v server_ip knock_sequence

Sa among kaso, kini gihubad sa:

$ knock -v 192.168.2.105 10005 10006 10007

Kinahanglan nga makakuha ka og output nga parehas sa kung unsa ang naa kanamo, depende sa imong pagkasunod-sunod. Kini nagpakita nga ang mga pagsulay sa pagtuktok malampuson.

Niini nga punto, kinahanglan nga naa ka sa posisyon nga malampuson nga mag-log in sa server gamit ang SSH.

Kung nahuman na nimo ang pagbuhat sa imong trabaho sa hilit nga server, isira ang SSH port pinaagi sa pagpadala sa panapos nga han-ay sa pagtuktok.

$ knock -v 192.168.2.105 10007 10006 10005

Ang bisan unsang pagsulay sa pag-log in sa server mapakyas sama sa gipakita.

Giputos niini ang kini nga giya kung giunsa ang paggamit sa pagtuktok sa pantalan aron masiguro ang serbisyo sa SSH sa imong server. Ang mas maayo ug mas sayon nga pamaagi mao ang pag-configure sa password sa SSH authentication gamit ang SSH key pairs. Kini nagsiguro nga ang tiggamit lamang nga adunay pribadong yawe ang makapamatuod sa server diin ang publiko nga yawe gitipigan.