|
|
|
|
公众号矩阵

如何使用端口碰撞为SSH登录确保安全?

您需要牢牢锁定服务器,以便只有您可以通过SSH来访问。而使用knockd是帮助加强安全的一种方法。本文介绍了具体方法。

作者:布加迪来源:51CTO|2021-10-09 08:00

【51CTO.com快译】Secure Shell是登录到远程Linux服务器的一种事实上的标准。多年来,它为许多管理员提供了良好的服务。但仅仅因为名称中有“Secure”(安全)这个词,并不意味着它总是很安全。事实上,您总是可以采取一些措施使SSH更安全。

其中一个方法就是借助端口碰撞(port knocking)。现在,在我们开始之前,我想明确指出,任何使用SSH的人都应该始终做两件事:

  • 使SSH保持最新版本。
  • 使用SSH密钥验证。

应该将以上两项都视为使用Secure Shell的标准优秀实践。话虽如此,我还是想向您介绍一种已存在一段时间的工具。其想法是在您的服务器上创建两个碰撞序列,一个打开SSH端口,一个关闭该端口。在您发送打开碰撞序列之前,SSH访问是被关闭的。发送打开序列后,您可以通过SSH连接到该机器。完成工作后,发送关闭序列,SSH将重新被锁起来。

这并不完美,但结合SSH密钥验证,SSH在您的服务器上会安全得多。

下面介绍如何安装和使用knockd以便在SSH上进行端口碰撞。

您需要什么?

我将在Ubuntu Server 20.04 上进行演示,因此您需要该操作系统的运行中实例和拥有sudo权限的用户。您还需要在客户机上拥有sudo权限的用户。至于客户端,我将在Pop!_OS上进行演示。

如何安装knockd?

我们要做的第一件事是在服务器和客户端上安装knockd。登录到服务器,并执行命令:

  1. sudo apt-get install knockd -y 

前往客户端,执行同样的命令。

安装完后,您需要注意几个配置。

如何配置knockd?

我们需要做的第一件事是配置knockd 服务。使用以下命令打开knockd配置文件:

  1. sudo nano /etc/knockd.conf 

在该文件中,将打开序列从默认的7000,8000,9000改成您想要使用的任何端口序列。您最多可以为此配置七个端口。要配置的行在[openSSH]下:

  1. sequence = 7000,8000,9000 

将端口号改成您能记住的序列。

接下来,以相同的方式更改关闭序列(使用不同的端口号)。这一行在[closeSSH]下:

  1. sequence = 9000,8000,7000 

接下来,您需要在[openSSH]命令行中将-A改成-I,以便它将是iptables链中的第一条规则。

保存并关闭文件。

接下来,我们需要找到用于SSH流量的网络接口的名称。执行命令:

  1. ip a 

找到您使用的IP地址,然后找到如下所示的序列:

  1. 2:ens5: 

以本文为例,接口的名称是ens5。

使用以下命令打开 Knockd 守护程序文件:

  1. sudo nano /etc/default/knockd 

在该文件中,通过将下面行中的0改成1,使守护程序能够在引导时运行:

  1. START_KNOCKD= 

接下来,将下面这行中的eth0 改成您网络接口的名称(并删除那个前导#字符):

  1. #KNOCKD_OPTS="-i eth0" 

所以这一行看起来像这样:

  1. KNOCKD_OPTS="-i ens5" 

保存并关闭文件。

使用以下命令运行并启用knockd:

  1. sudo systemctl start knockd 
  2. sudo systemctl enable knockd 

如何关闭端口22?

接下来,我们需要关闭端口22,这样流量无法绕过knockd 系统。执行命令:

  1. sudo ufw numbered 

如果您有允许SSH流量的规则,它们将被编号并需要被删除。比如说,您的SSH规则是1和2,用以下命令删除它们:

  1. sudo ufw delete 2 
  2. sudo ufw delete 1 

如何使用knockd?

进入到您的客户机。我们先要做的是发送打开碰撞序列,以便允许SSH流量通过。如果您的碰撞序列是7001,8001,9001,您将执行以下命令:

  1. knock -v SERVER 7001 8001 9001 

其中Server是远程服务器的IP地址。

您应该会看到如下输出:

  1. hitting tcp 192.168.1.111:7001 
  2. hitting tcp 192.168.1.111:8001 
  3. hitting tcp 192.168.1.111:9001 

碰撞序列后,您应该随后可以通过SSH连接到该服务器。完成远程工作后,您退出该服务器,然后发送关闭碰撞序列,就像这样:

  1. knock –v SERVER 9001 8001 7001 

关闭碰撞序列后,您应该再也无法通过SSH访问该远程服务器(除非您再次发送打开碰撞序列)。

这就是使用knockd以便在远程Linux服务器上更有效地为SSH访问确保安全的方法。记得将knockd安装在需要通过SSH访问那些服务器的任何客户机上。

原文标题:How to secure SSH logins with port knocking,作者:Jack Wallen

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 鸿蒙官方战略合作共建——HarmonyOS技术社区
  2. 除了支付密码,网络安全隐患还有哪些
  3. VMware加速客户的零信任安全转型之路
  4. Check Point :不负使命,全方位守护你的网络安全
  5. 用 jconsole 在 Linux 上监控你的 Java
  6. Linus Torvalds 谈 Linux 的长寿、社区和 Rust
【责任编辑:华轩 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微