如何使用端口碰撞為SSH登錄確保安全?
譯文【51CTO.com快譯】Secure Shell是登錄到遠程Linux服務器的一種事實上的標準。多年來,它為許多管理員提供了良好的服務。但僅僅因為名稱中有“Secure”(安全)這個詞,并不意味著它總是很安全。事實上,您總是可以采取一些措施使SSH更安全。
其中一個方法就是借助端口碰撞(port knocking)。現在,在我們開始之前,我想明確指出,任何使用SSH的人都應該始終做兩件事:
- 使SSH保持最新版本。
- 使用SSH密鑰驗證。
應該將以上兩項都視為使用Secure Shell的標準優秀實踐。話雖如此,我還是想向您介紹一種已存在一段時間的工具。其想法是在您的服務器上創建兩個碰撞序列,一個打開SSH端口,一個關閉該端口。在您發送打開碰撞序列之前,SSH訪問是被關閉的。發送打開序列后,您可以通過SSH連接到該機器。完成工作后,發送關閉序列,SSH將重新被鎖起來。
這并不完美,但結合SSH密鑰驗證,SSH在您的服務器上會安全得多。
下面介紹如何安裝和使用knockd以便在SSH上進行端口碰撞。
您需要什么?
我將在Ubuntu Server 20.04 上進行演示,因此您需要該操作系統的運行中實例和擁有sudo權限的用戶。您還需要在客戶機上擁有sudo權限的用戶。至于客戶端,我將在Pop!_OS上進行演示。
如何安裝knockd?
我們要做的第一件事是在服務器和客戶端上安裝knockd。登錄到服務器,并執行命令:
- sudo apt-get install knockd -y
前往客戶端,執行同樣的命令。
安裝完后,您需要注意幾個配置。
如何配置knockd?
我們需要做的第一件事是配置knockd 服務。使用以下命令打開knockd配置文件:
- sudo nano /etc/knockd.conf
在該文件中,將打開序列從默認的7000,8000,9000改成您想要使用的任何端口序列。您最多可以為此配置七個端口。要配置的行在[openSSH]下:
- sequence = 7000,8000,9000
將端口號改成您能記住的序列。
接下來,以相同的方式更改關閉序列(使用不同的端口號)。這一行在[closeSSH]下:
- sequence = 9000,8000,7000
接下來,您需要在[openSSH]命令行中將-A改成-I,以便它將是iptables鏈中的第一條規則。
保存并關閉文件。
接下來,我們需要找到用于SSH流量的網絡接口的名稱。執行命令:
- ip a
找到您使用的IP地址,然后找到如下所示的序列:
- 2:ens5:
以本文為例,接口的名稱是ens5。
使用以下命令打開 Knockd 守護程序文件:
- sudo nano /etc/default/knockd
在該文件中,通過將下面行中的0改成1,使守護程序能夠在引導時運行:
- START_KNOCKD=
接下來,將下面這行中的eth0 改成您網絡接口的名稱(并刪除那個前導#字符):
- #KNOCKD_OPTS="-i eth0"
所以這一行看起來像這樣:
- KNOCKD_OPTS="-i ens5"
保存并關閉文件。
使用以下命令運行并啟用knockd:
- sudo systemctl start knockd
- sudo systemctl enable knockd
如何關閉端口22?
接下來,我們需要關閉端口22,這樣流量無法繞過knockd 系統。執行命令:
- sudo ufw numbered
如果您有允許SSH流量的規則,它們將被編號并需要被刪除。比如說,您的SSH規則是1和2,用以下命令刪除它們:
- sudo ufw delete 2
- sudo ufw delete 1
如何使用knockd?
進入到您的客戶機。我們先要做的是發送打開碰撞序列,以便允許SSH流量通過。如果您的碰撞序列是7001,8001,9001,您將執行以下命令:
- knock -v SERVER 7001 8001 9001
其中Server是遠程服務器的IP地址。
您應該會看到如下輸出:
- hitting tcp 192.168.1.111:7001
- hitting tcp 192.168.1.111:8001
- hitting tcp 192.168.1.111:9001
碰撞序列后,您應該隨后可以通過SSH連接到該服務器。完成遠程工作后,您退出該服務器,然后發送關閉碰撞序列,就像這樣:
- knock –v SERVER 9001 8001 7001
關閉碰撞序列后,您應該再也無法通過SSH訪問該遠程服務器(除非您再次發送打開碰撞序列)。
這就是使用knockd以便在遠程Linux服務器上更有效地為SSH訪問確保安全的方法。記得將knockd安裝在需要通過SSH訪問那些服務器的任何客戶機上。
原文標題:How to secure SSH logins with port knocking,作者:Jack Wallen
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
