PieskarŔanās ostai: vislabākā droŔība, kāda var būt jūsu datorā vai serverī (izvietoŔana + konfigurācija)

PārsteidzoÅ”as ostas (angļu valodā ostas klauvÄ“Å”ana) NeapÅ”aubāmi tā ir prakse, kas mums visiem, kas pārvalda serverus, bÅ«tu labi jāzina, Å”eit es detalizēti paskaidroju, kas tas ir un kā to ieviest un konfigurēt šŸ˜‰

Patlaban tiem no mums, kas pārvalda serveri, ir SSH piekļuve Å”im serverim, dažiem mēs mainām SSH noklusējuma portu un tas vairs neizmanto 22. portu, un citi to vienkārÅ”i atstāj (kaut kas nav ieteicams), tomēr serverim ir iespējota SSH piekļuve, izmantojot kādu portu, un tā jau ir ā€œievainojamÄ«baā€.

ar Ostas klauvÄ“Å”ana mēs varam sasniegt sekojoÅ”o:

1. SSH piekļuvi nav iespējojis neviens ports. Ja mums ir konfigurēts SSH portam 9191 (piemēram), Å”is ports (9191) bÅ«s slēgts visiem.
2. Ja kāds vēlas piekļūt serverim, izmantojot SSH, tas acÄ«mredzot nevarēs, jo ports 9191 ir slēgts ... bet, ja mēs izmantojam ā€œburvjuā€ vai slepenu kombināciju, Ŕī osta tiks atvērta, piemēram:

1. Es telnet uz servera 7000 portu
2. Es veicu vēl vienu telnet uz servera 8000 portu
3. Es veicu vēl vienu telnet uz servera 9000 portu
4. Serveris konstatē, ka kāds ir izveidojis slepeno kombināciju (Å”ajā secÄ«bā pieskarieties pieslēgvietām 7000, 8000 un 9000) un atvērs 9191. portu, lai pieprasÄ«tu pieteikÅ”anos, izmantojot SSH (tas tiks atvērts tikai tam IP, no kura kombinācija tika apmierināta) .
5. Tagad, lai aizvērtu SSH, es tikai telnet uz 3500 portu
6. Es izdarÄ«Å”u vēl vienu telnet 4500. portam
7. Un visbeidzot vēl viens telnets uz 5500 portu
8. Veicot Å”o citu slepeno kombināciju, ko serveris atklāj, atkal tiks aizvērts ports 9191.

Citiem vārdiem sakot, izskaidrojot to vēl vienkārŔāk ...

ar Ostas klauvÄ“Å”ana mÅ«su serverim var bÅ«t slēgtas noteiktas ostas, bet, kad serveris to konstatē no X IP tika izveidota pareizā porta kombinācija (konfigurācija, kas iepriekÅ” definēta konfigurācijas failā) izpildÄ«s noteiktu komandu sev acÄ«mredzami (desantnieks definēts arÄ« konfigurācijas failā).

Vai tas nav saprotams? šŸ™‚

Kā instalēt dēmonu ostas klauvÄ“Å”anai?

Es to daru kopā ar iepakojumu riskēt, kas ļaus mums ļoti, ļoti vienkārÅ”i un ātri ieviest un konfigurēt Ostas klauvÄ“Å”ana.

Instalējiet pakotni: knockd

Kā konfigurēt ostas klauvÄ“Å”anu ar knockd?

Pēc instalÄ“Å”anas mēs turpinām to konfigurēt, tāpēc mēs rediģējam (kā root) failu /etc/knockd.conf:

nano /etc/knockd.conf

Kā redzat Å”ajā failā, jau ir noklusējuma konfigurācija:

 Noklusējuma iestatÄ«jumu izskaidroÅ”ana ir patieŔām vienkārÅ”a.

- Pirmkārt, UseSyslog nozÄ«mē, ka aktivitātes (žurnāla) reÄ£istrÄ“Å”anai mēs to izmantosim / var / log / syslog.
- Otrkārt, sadaļā [openSSH] AcÄ«mredzot iet instrukcijas SSH atvērÅ”anai, vispirms mums ir pēc noklusējuma konfigurēta ostu secÄ«ba (slepenā kombinācija) (ports 7000, ports 8000 un visbeidzot ports 9000). AcÄ«mredzot ostas var mainÄ«t (faktiski es to iesaku), kā arÄ« tām nav obligāti jābÅ«t 3, tās var bÅ«t vairāk vai mazāk, tas ir atkarÄ«gs no jums.
- TreÅ”kārt, seq_timeout = 5 nozÄ«mē laiku, kad jāgaida, kamēr notiks slepenā ostas kombinācija. Pēc noklusējuma tā ir iestatÄ«ta 5 sekundes, tas nozÄ«mē, ka, tiklÄ«dz mēs sākam klauvēt pie porta (tas ir, kad mēs telnetam uz portu 7000), mums ir maksimums 5 sekundes, lai pabeigtu pareizo secÄ«bu, ja paiet 5 sekundes neesat pabeidzis ostas klauvÄ“Å”anu, tad vienkārÅ”i bÅ«s tā, it kā secÄ«ba bÅ«tu nederÄ«ga.
- Ceturtkārt, komanda tam nav vajadzÄ«gs daudz paskaidrojumu. Tā vienkārÅ”i bÅ«s komanda, kuru serveris izpildÄ«s, atklājot iepriekÅ” definēto kombināciju. Komanda, kas ir iestatÄ«ta pēc noklusējuma, ir tā, ka tā ir atvērta 22. ports (mainiet Å”o portu savam SSH portam) tikai uz IP, kas izveidoja pareizo ostu kombināciju.
- piektais, tcpflags = syn Ar Å”o rindiņu mēs norādām pakeÅ”u veidu, ko serveris atpazÄ«s kā derÄ«gu klauvÄ“Å”anas portam.

Tad ir sadaļa SSH aizvērÅ”anai, ka noklusējuma konfigurācija ir nekas cits kā tā pati ostu secÄ«ba iepriekÅ”, bet pretējā secÄ«bā.

Šeit ir konfigurācija ar dažām modifikācijām:

 Kā sākt knockd dēmonu?

Lai to sāktu, vispirms ir jāpārveido (kā root) fails / etc / default / knockd:

nano /etc/default/knockd

Tur mēs mainām 12. rindiņu, kurā teikts: Ā«START_KNOCKD = 0Ā»Un mainiet 0 uz 1, mums bÅ«tu:START_KNOCKD = 1Ā«

Kad tas ir izdarÄ«ts tagad, mēs to vienkārÅ”i sākam:

service knockd start

Un voila, tas ir konfigurēts un darbojas.

Ostas pieklauvēŔana ar sasistu un skrieŔanu!

Kā redzat iepriekŔējā konfigurācijā, ja tiek veikts porta pieskāriens portam 1000, tad lÄ«dz 2000 un visbeidzot lÄ«dz 3000, tad tiks atvērts ports 2222 (mans SSH), labi, Å”eit ir vēl viens dators, kas izpilda porta klauvÄ“Å”anu:

Kad es nospiedÄ«Å”u [Enter] uz Knock Nr.1, uz Nr.2 un visbeidzot uz Nr.3, tiks atvērta osta, Å”eit ir žurnāls:

Kā redzat, kad pieklauvējot 1000 portu, tika reģistrēts 1. posms, tad 2000. gads būs 2. un visbeidzot 3. posms ar 3000, to darot, tiek izpildīta komanda, kuru es paziņoju .conf, un viss.

Tad, lai aizvērtu ostu, bÅ«tu tikai pieklauvēt 9000, 8000 un visbeidzot 7000, Å”eit ir žurnāls:

Un nu Å”eit beidzas lietoÅ”anas skaidrojums šŸ˜€

Kā redzat, pieskarÅ”anās ostai ir patiesi interesanta un noderÄ«ga, jo, lai arÄ« mēs nevēlamies vienkārÅ”i atvērt portu pēc noteiktas ostu kombinācijas, komanda vai rÄ«kojums, ko serveris izpildÄ«s, var atŔķirties, tas ir, nevis ... atverot portu, mēs varam paziņot, ka nogalinām procesu, apturam pakalpojumu, piemēram, apache vai mysql, utt. ... ierobežojums ir jÅ«su iztēle.

PieskarÅ”anās ostai darbojas tikai tad, ja jums ir fizisks serveris vai virtuālais serveris ir KVM tehnoloÄ£ija. Ja jÅ«su VPS (virtuālais serveris) ir OpenVZ, tad Port Knocking, es nedomāju, ka tas jums darbojas, jo jÅ«s nevarat tieÅ”i manipulēt ar iptables

Nu un lÄ«dz Å”im raksts ... Es vēl neesmu eksperts Å”ajā jautājumā, bet es gribēju dalÄ«ties ar jums Å”ajā ļoti interesantajā procesā.

Sveiciens šŸ˜€


27 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. AtbildÄ«gais par datiem: Migels Ɓngels GatĆ³ns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekriŔana
  4. Datu paziņoÅ”ana: Dati netiks paziņoti treŔām personām, izņemot juridiskus pienākumus.
  5. Datu glabāŔana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   erunamoJAZZ teica

    Izcils raksts, tas ir diezgan interesants, un es nezināju, ka tas pastāv ... bÅ«tu lieliski, ja turpinātu izlikt rakstus iesācēju sysadmin un citām lietām šŸ˜€

    Sveiciens un paldies ^ _ ^

    1.    KZKG ^ Gaara teica

      Paldies par komentāru.
      Jā ... ir tā, ka ar rakstiem par Fico DNS es negribu palikt aiz LOL !!!

      Nekas nopietni. Pirms vairākiem mēneÅ”iem es dzirdēju kaut ko par ostas klauvÄ“Å”anu, un tas uzreiz piesaistÄ«ja manu uzmanÄ«bu, bet, tā kā es domāju, ka tajā laikā tas bÅ«s ļoti sarežģīti, es neizlēmu iet iekŔā, tikai vakar pārskatot dažus repo paketes, ko es atklāju nolēmu pamēģināt, un Å”eit ir apmācÄ«ba.

      Man vienmēr ir paticis likt tehniskus rakstus, daži varbÅ«t nav pietiekami interesanti, bet ... es ceru, ka citi ir šŸ˜‰

      Sveicieni

    2.    Mario teica

      Labdien, es zinu, ka Ŕis raksts ir izveidots jau kādu laiku, bet es sāku vaicājumu, lai uzzinātu, vai kāds to var atrisināt manā vietā.
      Fakts ir tāds, ka es esmu ieviesis ostas pieskārienu savai avenei, lai mēģinātu uzlabot droŔību, kad es izveidoju savienojumu ar to no ārējā vietējā tÄ«kla. Lai tas darbotos, man bija jāatver portu diapazons marÅ”rutētājā 7000-9990, kas novirza uz maŔīnu. Vai ir droÅ”i atvērt Ŕīs ostas marÅ”rutētājā, vai, gluži pretēji, mēģinot iegÅ«t lielāku droŔību, es rÄ«kojos tieÅ”i pretēji?

      Sveiciens un paldies.

  2.   EVER teica

    Lieliski, es gadiem esmu bijis sistadminieks un nepazinu viņu.
    Viens jautājums ... kā jūs veicat "klauvējienus"?
    Vai jÅ«s veicat telnet pret Ŕīm ostām? Ko telnet jums atbild? Vai arÄ« ir kāda "klauvÄ“Å”anas" viļņu komanda?
    Lieliski forŔs ir raksts. BrīniŔķīgi. Liels paldies

    1.    KZKG ^ Gaara teica

      Es veicu testu ar telnet, un viss darÄ«ja brÄ«numus ... bet, interesanti, ir komanda "klauvēt", veiciet cilvēks klauvē lai jÅ«s varētu redzēt šŸ˜‰

      Telnet man Ä«sti vispār nereaģē, iptables ar DROP politiku liek tam vispār nereaģēt, un telnet paliek tur gaidot atbildi (kas nekad nenonāks), bet knockd dēmons atpazÄ«s klauvējumu pat tad, ja nē viens atbild šŸ˜€

      Liels paldies par komentāru, prieks zināt, ka maniem rakstiem joprojām patīk ^ _ ^

  3.   str0rmt4il teica

    Pievienots izlasei! : D!

    Paldies!

    1.    KZKG ^ Gaara teica

      Paldies šŸ˜€

  4.   dunter teica

    Ahh droŔība, tā patÄ«kamā sajÅ«ta, kad mēs nodroÅ”inām datoru pie santehnikas, un pēc dienām / nedēļām mēģinām izveidot savienojumu no kādas attālās vietas, kurai mēs nevaram piekļūt, jo ugunsmÅ«ris ir režīmā "nevienam nevienam", to sauc par palikÅ”anu ārpus pils sysadminu ziņā. šŸ˜‰

    Tāpēc Ŕī ziņa ir tik noderÄ«ga, ka ar knockd jÅ«s varat piekļūt no jebkuras vietas, kur vietējam tÄ«klam var nosÅ«tÄ«t pakeÅ”u, un uzbrucēji zaudē interesi, redzot, ka ssh ports ir slēgts, es nedomāju, ka viņi klauvēs brutālu spēku lai atvērtu ostu.

  5.   Manuel teica

    Hei, raksts ir lielisks.

    Viena lieta: vai tas kalpo, lai izveidotu savienojumu no vietējā tīkla?

    Es to saku tāpēc, ka man ir marÅ”rutētājs ar slēgtiem portiem, atņemot to, kas atbilst ssh, kas tiek novirzÄ«ts uz serveri.

    Es iedomājos, ka, lai tas darbotos ārpus lokālā tÄ«kla, bÅ«s jāatver marÅ”rutētāja porti, kas atbilst portu klauvÄ“Å”anai, un arÄ« tie jāpāradresē uz serveri.

    Mmm ...

    Es nezinu, cik droŔi to izdarīt.

    Ko tu domā?

    1.    KZKG ^ Gaara teica

      Es neesmu Ä«sti pārliecināts, es neesmu veicis testu, bet es domāju, ka jā, jums vajadzētu atvērt marÅ”rutētājā esoŔās ostas, pretējā gadÄ«jumā jÅ«s nevarēsiet izsist serveri.

      Veiciet pārbaudi, neatverot marÅ”rutētāja porti, ja tas jums nedarbojas, ir kauns, jo es jums piekrÄ«tu, nav ieteicams atvērt Ŕīs marÅ”rutētāja porti.

      1.    Manuel teica

        PatieŔām, mums jāatver porti un jānovirza tie uz datoru, uz kuru zvanām.

        Žēl.

  6.   rabba08 teica

    Liels liels paldies! Es tikko sāku mācÄ«ties tÄ«kla karjerā, un Ŕīs apmācÄ«bas man ir lieliski piemērotas! paldies, ka veltÄ«jāt laiku zināŔanu dalÄ«Å”anai

    1.    KZKG ^ Gaara teica

      Gadu gaitā esmu daudz iemācÄ«jies kopā ar globālo Linux kopienu ... dažus gadus esmu vēlējies dot savu ieguldÄ«jumu, tieÅ”i tāpēc es rakstu šŸ˜€

  7.   janus981 teica

    Liels paldies, jūs nezināt, kā tas man palīdz, es gatavojos izveidot serveri, un tas man klājas lieliski.

    Sveicieni

    1.    KZKG ^ Gaara teica

      Tam mēs esam, lai palÄ«dzētu šŸ˜‰

  8.   Žans Ventura teica

    Izcils raksts! Man par to nebija ne zināŔanu, un tas man ļoti palÄ«dz (es izmantoju RackSpace, kas izmanto KVM, tāpēc man tas der kā cimds!). Pievienots izlasei.

    1.    KZKG ^ Gaara teica

      Paldies par komentāriem šŸ™‚

  9.   Aļģes teica

    Kā parasti DesdeLinux nos trae excelentes post con tutoriales que son realmente utiles para poner en acciĆ³n, gracias por compartir!! šŸ™‚

    1.    KZKG ^ Gaara teica

      Paldies par komentāru šŸ™‚
      Jā, mēs vienmēr cenÅ”amies apmierināt to slāpes pēc zināŔanām, kādas ir mÅ«su lasÄ«tājiem šŸ˜€

  10.   Timbleks teica

    Interesanti, es nezināju variantu.
    Dodieties tieÅ”i pie manas karbonādes bibliotēkas nobaroÅ”anas.
    Paldies!

    1.    KZKG ^ Gaara teica

      Man prieks šŸ˜€
      Sveicieni

  11.   Frederiks. A. ValdĆ©s Toujague teica

    Sveiciens KZKG ^ Gaara !!! JÅ«s saspiedāt. MilzÄ«gs raksts serveru droŔībai. Nav @% * & ^ idejas, ka Ŕāda lieta pastāv. Es to izmēģināŔu. Paldies

  12.   Balta ^ kaklarota teica

    tas ir lieliskiā€¦. ^ - ^

  13.   LearnLinux teica

    Labdien, vai jūs varētu paskaidrot, kā to instalēt CentOS 5.x?

    Esmu lejupielādējis apgriezienus minūtē:
    http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm

    Instalēts:
    rpm -i knock-0.5-3.el5.rf.x86_64.rpm

    Konfigurējiet konfigurācijas failu ar 15 sekundēm laika un portu, kuru izmantoju, lai ar ssh izveidotu savienojumu ar saviem vps

    Dēmons sākas:
    / usr / sbin / knockd &

    Es telnet un nekas ports netiek aizvērts, pēc noklusējuma ports ir atvērts, bet tas netiek aizvērts.

    Vai es daru kaut ko nepareizi?

  14.   sveiki teica

    Mmmm, telnet pieprasÄ«jumus Ŕīm ostām varēja uzzināt mÅ«su vietējā tÄ«kla administrators vai mÅ«su pakalpojumu sniedzējs. Nē? Tas bloķētu ārējos cilvēkus, bet ne viņus, tāpēc, ja viņi vēlas aktivizēt mÅ«su portu, viņi to varēja izdarÄ«t, jo skatiet mēs iesniedzam pieprasÄ«jumus, teiksim, ka tas aizsargā, bet ne 100%

    1.    roberto teica

      Tas varētu bÅ«t, bet es nedomāju, ka viņi gatavojas iedomāties, ka noteikts telnets izpilda X darbÄ«bu. Ja vien viņi neredz, ka tiek ievēroti tie paÅ”i telnet modeļi.

  15.   Pablo Andress Diazs Aramburo teica

    Interesants raksts, man ir jautājums. Es domāju, ka konfigurācijas faila attēlā ir kļūda, jo, ja jūs labi analizējat, abās komandas rindās Iptables izmantojat ACCEPT. Es domāju, ka vienam vajadzētu būt PIEŅEMTAM, bet citam - noraidīt.

    Pretējā gadÄ«jumā lieliska iniciatÄ«va. Liels paldies, ka veltÄ«jāt laiku, lai izskaidrotu savas zināŔanas citiem.

    Sveicieni