Rabavad sadamad (inglise keeles sadamas koputamine) See on kahtlemata praktika, mida me kõik, kes haldame servereid, peaksid hästi teadma, siin selgitan üksikasjalikult, mis see on ja kuidas seda rakendada ja konfigureerida 😉
Praegu on meil serverit haldavatel isikutel SSH-juurdepääs sellele serverile muudame SSH vaikeporti ja see ei kasuta enam porti 22 ja teised jätavad selle lihtsalt selliseks (midagi pole soovitatav), kuid serveril on SSH-juurdepääs mõne pordi kaudu lubatud ja see on juba "haavatavus".
koos Sadama koputamine saame saavutada järgmise:
1. Ükski port ei võimalda SSH-juurdepääsu. Kui meil on SSH konfigureeritud näiteks porti 9191 jaoks, on see port (9191) kõigi jaoks suletud.
2. Kui keegi soovib SSH-ga serverile juurde pääseda, ei saa ta seda ilmselgelt kasutada, kuna port 9191 on suletud ... aga kui kasutame „maagilist” või salajast kombinatsiooni, avatakse see port näiteks:
1. Telnetin serveri pordile 7000
2. Ma teen teise telneti serveri pordile 8000
3. Ma teen teise telneti serveri porti 9000
4. Server tuvastab, et keegi on teinud salajase kombinatsiooni (puutepordid 7000, 8000 ja 9000 selles järjekorras) ja avab pordi 9191, nii et SSH nõuab sisselogimist (see avab selle ainult selle IP jaoks, kust kombinatsioon tehti rahuldav).
5. Nüüd, et SSH sulgeda, telnetin porti 3500
6. Ma teen teise telneti porti 4500
7. Ja lõpuks veel üks telnet porti 5500
8. Selle teise salajase kombinatsiooni teostamine, mille server tuvastab, sulgeb pordi 9191 uuesti.
Teisisõnu, selgitades seda veelgi lihtsamalt ...
koos Sadama koputamine meie serveril võivad olla teatud pordid suletud, kuid kui server selle tuvastab X IP-s tehti õige pordikombinatsioon (konfiguratsioonifailis eelnevalt määratletud konfiguratsioon) täidab enda jaoks ilmselgelt teatud käsu (komando määratletud ka konfiguratsioonifailis).
Kas sellest saadakse aru, et pole? 🙂
Kuidas installida deemoni sadama koputamiseks?
Ma teen seda koos pakendiga riskima, mis võimaldab meil rakendamist ja seadistamist väga, väga lihtsal ja kiirel viisil Sadama koputamine.
Installige pakett: knockd
Kuidas seadistada pordi koputamist knockd-ga?
Pärast installimist jätkame selle konfigureerimist, selleks redigeerime faili (juurena) /etc/knockd.conf:
nano /etc/knockd.conf
Nagu näete selles failis, on juba vaikekonfiguratsioon:
Vaikesätete selgitamine on tõesti lihtne.
- Esiteks KasutaSyslogi tähendab, et tegevuse (logi) salvestamiseks kasutame / var / log / syslog.
- Teiseks, jaotises [openSSH] Sealt lähevad ilmselgelt SSH avamise juhised, kõigepealt on meil vaikimisi konfigureeritud sadamate jada (salajane kombinatsioon) (port 7000, port 8000 ja lõpuks port 9000). Ilmselt saab porte muuta (tegelikult ma soovitan seda), samuti ei pea need tingimata olema 3, need võivad olla enam-vähem, see sõltub sinust.
- Kolmandaks seq_timeout = 5 tähendab aega, et oodata salajase sadama kombinatsiooni toimumist. Vaikimisi on see seatud 5 sekundit, see tähendab, et kui alustame pordi koputamist (see tähendab, kui me ühendume telneti porti 7000), on õige järjestuse lõpuleviimiseks aega maksimaalselt 5 sekundit, kui möödub 5 sekundit ja ei ole veel pordi koputamist lõpetanud, siis lihtsalt tundub, et jada oleks vale.
- neljandaks, käsk see ei vaja palju selgitusi. See on lihtsalt käsk, mille server täidab, kui ta tuvastab ülalkirjeldatud kombinatsiooni. Vaikimisi määratud käsk on avatud port 22 (muuda see port oma SSH-pordi jaoks) ainult sellele IP-le, mis tegi õige pordikombinatsiooni.
- viies tcpflags = sün Selle reaga määrame pakettide tüübi, mille server tunnistab koputusporti jaoks kehtivateks.
Siis on SSH sulgemiseks jaotis, et vaikekonfiguratsioon pole midagi muud kui sama pordijärjestus ülal, kuid vastupidises järjekorras.
Siin on konfiguratsioon koos mõningate muudatustega:
Kuidas käivitada koputatav deemon?
Selle käivitamiseks peame kõigepealt faili (juurena) muutma / etc / default / knockd:
nano /etc/default/knockd
Seal muudame rida number 12, mis ütleb: «START_KNOCKD = 0»Ja muutke 0 väärtuseks 1, oleksime:«START_KNOCKD = 1«
Kui see on nüüd tehtud, alustame seda lihtsalt:
service knockd start
Ja voila, see on konfigureeritud ja töötab.
Sadama koputamine koputades üles ja töötab!
Nagu eelmises konfiguratsioonis näete, kui pordi koputus tehakse pordile 1000, seejärel 2000-le ja lõpuks 3000-le, siis avaneb port 2222 (minu SSH), siin on ka teine arvuti, mis täidab pordi koputamist:
Kui vajutan klahvi [Enter] nuppu Knock nr 1, nr 2 ja lõpuks nr 3, avaneb port, siin on logi:
Nagu näete, siis kui pordi 1000 koputamisel registreeriti 1. etapp, siis 2000 on 2. etapp ja lõpuks 3 koos 3000-ga, kui seda tehakse, käivitatakse .conf-is deklareeritud käsk ja kõik.
Siis oleks sadama sulgemiseks koputada ainult 9000, 8000 ja lõpuks 7000, siin on logi:
Ja noh, siin lõpeb kasutamise selgitus 😀
Nagu näete, on pordi koputamine tõeliselt huvitav ja kasulik, sest kuigi me ei soovi lihtsalt pordi avada pärast teatud pordikombinatsiooni, võib käsk või käsk, mida server täidab, erineda, see tähendab ... pordi avamisel võime kuulutada protsessi tapmise, peatada sellise teenuse nagu apache või mysql jne ... piiriks on teie kujutlusvõime.
Noh ja siiani artikkel ... Ma pole selles küsimuses kaugeltki ekspert, kuid tahtsin teiega jagada seda väga huvitavat protsessi.
Tervitused 😀
Suurepärane artikkel, see on üsna huvitav ja ma ei teadnud, et see olemas on ... oleks tore, kui jätkaksite artiklite väljaandmist sysadmini algajatele ja seda 😀
Tervitused ja tänud ^ _ ^
Tänan kommentaari eest.
Jah ... see on see, et Fico DNS-i artiklitega ei taha ma LOL-i maha jätta !!!
Ei midagi tõsist. Mitu kuud tagasi kuulsin midagi sadama koputamisest ja see pälvis kohe minu tähelepanu, kuid kuna ma arvasin, et see on sel ajal väga keeruline, ei otsustanud ma sinna minna, alles eile vaatasin läbi mõned repost paketid, mille avastasin otsustas seda proovida ja siin on õpetus.
Mulle on alati meeldinud tehnilisi artikleid panna, mõned ei pruugi olla piisavalt huvitavad, kuid ... ma loodan, et teised on 😉
seoses
Tere, ma tean, et see artikkel on juba mõnda aega olnud, kuid käivitan oma päringu, et näha, kas keegi suudab selle minu jaoks lahendada.
Fakt on see, et olen oma vaarika jaoks koputanud porti, et proovida turvalisust parandada, kui ühendan sellega väljaspool kohalikku võrku. Selle toimimiseks pidin avama marsruuteri 7000-9990 pordid, mis suunasid masinasse. Kas on ruuteris nende pordide avamine ohutu või vastupidi, kas suurema turvalisuse tagamisel teen vastupidist?
Tervitused ja aitäh.
Suurepärane, olen aastaid olnud sysadmin ega tundnud teda.
Üks küsimus ... kuidas teete "koputusi"?
Kas telnetite nende sadamate vastu? Mida vastab telnet teile? Või on olemas mingi "koputus" laine käsk?
Väga lahe on artikkel. Suurejooneline. Tänud
Ma tegin testi telnetiga ja kõik tegi imet ... aga uudishimulikult on olemas käsk "koputada", tehke mees koputab nii et näete 😉
Telnet ei reageeri mulle tegelikult üldse, DROP-i poliitikaga iptables muudab selle üldse reageerimata ja telnet jääb sinna mingit vastust ootama (mis ei jõua kunagi), kuid knockd-deemon tunneb koputuse ära ka siis, kui keegi ei vasta see 😀
Suur tänu teie kommentaari eest, on hea meel teada, et minu artiklid ikka meeldivad ^ _ ^
Lisatud lemmikute hulka! : D!
Aitäh!
Aitäh 😀
Ahh turvalisus, see meeldiv tunne, kui me arvutit torustiku külge kinnitame, ja seejärel proovime päevi / nädalaid hiljem mõnest kaugemast kohast ühendust luua, kuna me ei pääse juurde, kuna tulemüür on režiimis "keegi kellelegi", seda nimetatakse väljaspool loss sysadminide poolest. 😉
Seetõttu on see postitus nii kasulik, kuna knockd-iga saate juurde pääseda kõikjalt, kes saab paketi teie kohalikku võrku saata, ja ründajad kaotavad huvi, kui näevad, et ssh-port on suletud, ma ei usu, et nad toorest jõudu koputaksid sadama avamiseks.
Hei, artikkel on suurepärane.
Üks asi: kas see aitab luua ühendust väljaspool kohalikku võrku?
Ma ütlen seda seetõttu, et mul on ruuter suletud pordidega miinus see, mis vastab serverisse suunatavale ssh-ile.
Kujutan ette, et selle toimimiseks väljastpoolt kohalikku võrku on vaja avada ruuteri pordipordile vastavad pordid ja panna need ka serverisse ümber suunama.
Mmm…
Ma ei tea, kui ohutu seda teha on.
Mida sa arvad?
Ma pole tegelikult kindel, ma pole testi teinud, kuid arvan, et jah, peaksite ruuteris porte avama, vastasel juhul ei saa te serverit koputada.
Tehke test ruuteris porte avamata, kui see teie jaoks ei toimi, on kahju, sest olen teiega nõus, neid porte pole soovitatav ruuteris avada.
Peame avama pordid ja suunama need arvutisse, kuhu helistame.
Kahju.
Suur aitäh teile väga! Hakkan alles õppima võrgustikke ja need õpetused on minu jaoks suurepärased! aitäh teadmiste jagamiseks
Olen aastate jooksul globaalse Linuxi kogukonnaga palju õppinud ... paar aastat olen tahtnud ka ise kaasa aidata, just sellepärast kirjutangi write
Suur aitäh, te ei tea, kuidas see mind aitab, olen seadistamas serverit ja see läheb minu jaoks suurepäraselt.
seoses
Selleks me oleme, et aidata 😉
Suurepärane artikkel! Mul polnud sellest teadmisi ja see aitab mind palju (kasutan KVM-i kasutavat RackSpace'i, nii et see sobib mulle nagu kinnas!). Lisatud lemmikute hulka.
Aitäh kommenteerimast 🙂
Nagu tavaliselt DesdeLinux toob meile suurepäraseid postitusi koos õpetustega, mida on tõesti kasulik ellu viia, aitäh jagamast!! 🙂
Tänan teid kommentaari eest 🙂
Jah, püüame alati rahuldada seda teadmisjanu, mis meie lugejatel on 😀
Huvitav, ma ei teadnud seda varianti.
Minge otse mu karbonaadi nuumamiseks.
Aitäh!
Rõõm minu jaoks 😀
seoses
Tervitused KZKG ^ Gaara !!! Sa pigistasid. Tohutu artikkel serverite turvamiseks. Pole @% * & ^ ideed, et selline asi olemas on. Ma proovin seda. Aitäh
see on hea…. ^ - ^
Tere, kas saaksite selgitada, kuidas seda CentOS 5.x-i installida?
Olen alla laadinud pööre:
http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm
Installitud:
rpm -i knock-0.5-3.el5.rf.x86_64.rpm
Konfigureerige 15 sekundilise ajaga konfiguratsioonifail ja port, mida kasutan ssh-ga ühenduse loomiseks oma vps-ga
Deemon algab:
/ usr / sbin / knockd &
Ma telnet ja midagi port ei sulgu, vaikimisi port on avatud, kuid see ei sulgu.
Kas ma teen midagi valesti?
Mmmm, telneti taotlusi nendesse sadamatesse võiks õppida meie kohaliku võrgu administraator või meie teenusepakkuja, ei? See blokeeriks välised inimesed, kuid mitte neid, nii et kui nad soovivad meie pordi aktiveerida, saaksid nad seda teha, sest vaadake meie tehtud taotlused, mmm ütleme, et see kaitseb, kuid mitte 100%
See võib olla, kuid ma ei usu, et nad kavatsevad ette kujutada, et teatud telnet täidab X-toimingut. Kui nad ei näe, et järgitakse samu telneti mustreid.
Huvitav artikkel, mul on küsimus. Ma arvan, et konfiguratsioonifaili pildil on viga, sest kui hästi analüüsida, kasutate Iptablesis käsu mõlemal real käsku ACCEPT. Ma arvan, et üks peaks olema aktsepteeritud ja teine tagasi lükatud.
Muidu suurepärane algatus. Suur aitäh, et leidsite aega teistele oma teadmisi selgitada.
seoses