PÄrsteidzoÅ”as ostas (angļu valodÄ ostas klauvÄÅ”ana) NeapÅ”aubÄmi tÄ ir prakse, kas mums visiem, kas pÄrvalda serverus, bÅ«tu labi jÄzina, Å”eit es detalizÄti paskaidroju, kas tas ir un kÄ to ieviest un konfigurÄt š
Patlaban tiem no mums, kas pÄrvalda serveri, ir SSH piekļuve Å”im serverim, dažiem mÄs mainÄm SSH noklusÄjuma portu un tas vairs neizmanto 22. portu, un citi to vienkÄrÅ”i atstÄj (kaut kas nav ieteicams), tomÄr serverim ir iespÄjota SSH piekļuve, izmantojot kÄdu portu, un tÄ jau ir āievainojamÄ«baā.
ar Ostas klauvÄÅ”ana mÄs varam sasniegt sekojoÅ”o:
1. SSH piekļuvi nav iespÄjojis neviens ports. Ja mums ir konfigurÄts SSH portam 9191 (piemÄram), Å”is ports (9191) bÅ«s slÄgts visiem.
2. Ja kÄds vÄlas piekļūt serverim, izmantojot SSH, tas acÄ«mredzot nevarÄs, jo ports 9191 ir slÄgts ... bet, ja mÄs izmantojam āburvjuā vai slepenu kombinÄciju, Ŕī osta tiks atvÄrta, piemÄram:
1. Es telnet uz servera 7000 portu
2. Es veicu vÄl vienu telnet uz servera 8000 portu
3. Es veicu vÄl vienu telnet uz servera 9000 portu
4. Serveris konstatÄ, ka kÄds ir izveidojis slepeno kombinÄciju (Å”ajÄ secÄ«bÄ pieskarieties pieslÄgvietÄm 7000, 8000 un 9000) un atvÄrs 9191. portu, lai pieprasÄ«tu pieteikÅ”anos, izmantojot SSH (tas tiks atvÄrts tikai tam IP, no kura kombinÄcija tika apmierinÄta) .
5. Tagad, lai aizvÄrtu SSH, es tikai telnet uz 3500 portu
6. Es izdarÄ«Å”u vÄl vienu telnet 4500. portam
7. Un visbeidzot vÄl viens telnets uz 5500 portu
8. Veicot Å”o citu slepeno kombinÄciju, ko serveris atklÄj, atkal tiks aizvÄrts ports 9191.
Citiem vÄrdiem sakot, izskaidrojot to vÄl vienkÄrÅ”Äk ...
ar Ostas klauvÄÅ”ana mÅ«su serverim var bÅ«t slÄgtas noteiktas ostas, bet, kad serveris to konstatÄ no X IP tika izveidota pareizÄ porta kombinÄcija (konfigurÄcija, kas iepriekÅ” definÄta konfigurÄcijas failÄ) izpildÄ«s noteiktu komandu sev acÄ«mredzami (desantnieks definÄts arÄ« konfigurÄcijas failÄ).
Vai tas nav saprotams? š
KÄ instalÄt dÄmonu ostas klauvÄÅ”anai?
Es to daru kopÄ ar iepakojumu riskÄt, kas ļaus mums ļoti, ļoti vienkÄrÅ”i un Ätri ieviest un konfigurÄt Ostas klauvÄÅ”ana.
InstalÄjiet pakotni: knockd
KÄ konfigurÄt ostas klauvÄÅ”anu ar knockd?
PÄc instalÄÅ”anas mÄs turpinÄm to konfigurÄt, tÄpÄc mÄs rediÄ£Äjam (kÄ root) failu /etc/knockd.conf:
nano /etc/knockd.conf
KÄ redzat Å”ajÄ failÄ, jau ir noklusÄjuma konfigurÄcija:
NoklusÄjuma iestatÄ«jumu izskaidroÅ”ana ir patieÅ”Äm vienkÄrÅ”a.
- PirmkÄrt, UseSyslog nozÄ«mÄ, ka aktivitÄtes (žurnÄla) reÄ£istrÄÅ”anai mÄs to izmantosim / var / log / syslog.
- OtrkÄrt, sadaÄ¼Ä [openSSH] AcÄ«mredzot iet instrukcijas SSH atvÄrÅ”anai, vispirms mums ir pÄc noklusÄjuma konfigurÄta ostu secÄ«ba (slepenÄ kombinÄcija) (ports 7000, ports 8000 un visbeidzot ports 9000). AcÄ«mredzot ostas var mainÄ«t (faktiski es to iesaku), kÄ arÄ« tÄm nav obligÄti jÄbÅ«t 3, tÄs var bÅ«t vairÄk vai mazÄk, tas ir atkarÄ«gs no jums.
- TreÅ”kÄrt, seq_timeout = 5 nozÄ«mÄ laiku, kad jÄgaida, kamÄr notiks slepenÄ ostas kombinÄcija. PÄc noklusÄjuma tÄ ir iestatÄ«ta 5 sekundes, tas nozÄ«mÄ, ka, tiklÄ«dz mÄs sÄkam klauvÄt pie porta (tas ir, kad mÄs telnetam uz portu 7000), mums ir maksimums 5 sekundes, lai pabeigtu pareizo secÄ«bu, ja paiet 5 sekundes neesat pabeidzis ostas klauvÄÅ”anu, tad vienkÄrÅ”i bÅ«s tÄ, it kÄ secÄ«ba bÅ«tu nederÄ«ga.
- CeturtkÄrt, komanda tam nav vajadzÄ«gs daudz paskaidrojumu. TÄ vienkÄrÅ”i bÅ«s komanda, kuru serveris izpildÄ«s, atklÄjot iepriekÅ” definÄto kombinÄciju. Komanda, kas ir iestatÄ«ta pÄc noklusÄjuma, ir tÄ, ka tÄ ir atvÄrta 22. ports (mainiet Å”o portu savam SSH portam) tikai uz IP, kas izveidoja pareizo ostu kombinÄciju.
- piektais, tcpflags = syn Ar Å”o rindiÅu mÄs norÄdÄm pakeÅ”u veidu, ko serveris atpazÄ«s kÄ derÄ«gu klauvÄÅ”anas portam.
Tad ir sadaļa SSH aizvÄrÅ”anai, ka noklusÄjuma konfigurÄcija ir nekas cits kÄ tÄ pati ostu secÄ«ba iepriekÅ”, bet pretÄjÄ secÄ«bÄ.
Å eit ir konfigurÄcija ar dažÄm modifikÄcijÄm:
KÄ sÄkt knockd dÄmonu?
Lai to sÄktu, vispirms ir jÄpÄrveido (kÄ root) fails / etc / default / knockd:
nano /etc/default/knockd
Tur mÄs mainÄm 12. rindiÅu, kurÄ teikts: Ā«START_KNOCKD = 0Ā»Un mainiet 0 uz 1, mums bÅ«tu:START_KNOCKD = 1Ā«
Kad tas ir izdarÄ«ts tagad, mÄs to vienkÄrÅ”i sÄkam:
service knockd start
Un voila, tas ir konfigurÄts un darbojas.
Ostas pieklauvÄÅ”ana ar sasistu un skrieÅ”anu!
KÄ redzat iepriekÅ”ÄjÄ konfigurÄcijÄ, ja tiek veikts porta pieskÄriens portam 1000, tad lÄ«dz 2000 un visbeidzot lÄ«dz 3000, tad tiks atvÄrts ports 2222 (mans SSH), labi, Å”eit ir vÄl viens dators, kas izpilda porta klauvÄÅ”anu:
Kad es nospiedÄ«Å”u [Enter] uz Knock Nr.1, uz Nr.2 un visbeidzot uz Nr.3, tiks atvÄrta osta, Å”eit ir žurnÄls:
KÄ redzat, kad pieklauvÄjot 1000 portu, tika reÄ£istrÄts 1. posms, tad 2000. gads bÅ«s 2. un visbeidzot 3. posms ar 3000, to darot, tiek izpildÄ«ta komanda, kuru es paziÅoju .conf, un viss.
Tad, lai aizvÄrtu ostu, bÅ«tu tikai pieklauvÄt 9000, 8000 un visbeidzot 7000, Å”eit ir žurnÄls:
Un nu Å”eit beidzas lietoÅ”anas skaidrojums š
KÄ redzat, pieskarÅ”anÄs ostai ir patiesi interesanta un noderÄ«ga, jo, lai arÄ« mÄs nevÄlamies vienkÄrÅ”i atvÄrt portu pÄc noteiktas ostu kombinÄcijas, komanda vai rÄ«kojums, ko serveris izpildÄ«s, var atŔķirties, tas ir, nevis ... atverot portu, mÄs varam paziÅot, ka nogalinÄm procesu, apturam pakalpojumu, piemÄram, apache vai mysql, utt. ... ierobežojums ir jÅ«su iztÄle.
Nu un lÄ«dz Å”im raksts ... Es vÄl neesmu eksperts Å”ajÄ jautÄjumÄ, bet es gribÄju dalÄ«ties ar jums Å”ajÄ Ä¼oti interesantajÄ procesÄ.
Sveiciens š
Izcils raksts, tas ir diezgan interesants, un es nezinÄju, ka tas pastÄv ... bÅ«tu lieliski, ja turpinÄtu izlikt rakstus iesÄcÄju sysadmin un citÄm lietÄm š
Sveiciens un paldies ^ _ ^
Paldies par komentÄru.
JÄ ... ir tÄ, ka ar rakstiem par Fico DNS es negribu palikt aiz LOL !!!
Nekas nopietni. Pirms vairÄkiem mÄneÅ”iem es dzirdÄju kaut ko par ostas klauvÄÅ”anu, un tas uzreiz piesaistÄ«ja manu uzmanÄ«bu, bet, tÄ kÄ es domÄju, ka tajÄ laikÄ tas bÅ«s ļoti sarežģīti, es neizlÄmu iet iekÅ”Ä, tikai vakar pÄrskatot dažus repo paketes, ko es atklÄju nolÄmu pamÄÄ£inÄt, un Å”eit ir apmÄcÄ«ba.
Man vienmÄr ir paticis likt tehniskus rakstus, daži varbÅ«t nav pietiekami interesanti, bet ... es ceru, ka citi ir š
Sveicieni
Labdien, es zinu, ka Å”is raksts ir izveidots jau kÄdu laiku, bet es sÄku vaicÄjumu, lai uzzinÄtu, vai kÄds to var atrisinÄt manÄ vietÄ.
Fakts ir tÄds, ka es esmu ieviesis ostas pieskÄrienu savai avenei, lai mÄÄ£inÄtu uzlabot droŔību, kad es izveidoju savienojumu ar to no ÄrÄjÄ vietÄjÄ tÄ«kla. Lai tas darbotos, man bija jÄatver portu diapazons marÅ”rutÄtÄjÄ 7000-9990, kas novirza uz maŔīnu. Vai ir droÅ”i atvÄrt Ŕīs ostas marÅ”rutÄtÄjÄ, vai, gluži pretÄji, mÄÄ£inot iegÅ«t lielÄku droŔību, es rÄ«kojos tieÅ”i pretÄji?
Sveiciens un paldies.
Lieliski, es gadiem esmu bijis sistadminieks un nepazinu viÅu.
Viens jautÄjums ... kÄ jÅ«s veicat "klauvÄjienus"?
Vai jÅ«s veicat telnet pret Ŕīm ostÄm? Ko telnet jums atbild? Vai arÄ« ir kÄda "klauvÄÅ”anas" viļÅu komanda?
Lieliski forŔs ir raksts. BrīniŔķīgi. Liels paldies
Es veicu testu ar telnet, un viss darÄ«ja brÄ«numus ... bet, interesanti, ir komanda "klauvÄt", veiciet cilvÄks klauvÄ lai jÅ«s varÄtu redzÄt š
Telnet man Ä«sti vispÄr nereaÄ£Ä, iptables ar DROP politiku liek tam vispÄr nereaÄ£Ät, un telnet paliek tur gaidot atbildi (kas nekad nenonÄks), bet knockd dÄmons atpazÄ«s klauvÄjumu pat tad, ja nÄ viens atbild š
Liels paldies par komentÄru, prieks zinÄt, ka maniem rakstiem joprojÄm patÄ«k ^ _ ^
Pievienots izlasei! : D!
Paldies!
Paldies š
Ahh droŔība, tÄ patÄ«kamÄ sajÅ«ta, kad mÄs nodroÅ”inÄm datoru pie santehnikas, un pÄc dienÄm / nedÄļÄm mÄÄ£inÄm izveidot savienojumu no kÄdas attÄlÄs vietas, kurai mÄs nevaram piekļūt, jo ugunsmÅ«ris ir režīmÄ "nevienam nevienam", to sauc par palikÅ”anu Ärpus pils sysadminu ziÅÄ. š
TÄpÄc Ŕī ziÅa ir tik noderÄ«ga, ka ar knockd jÅ«s varat piekļūt no jebkuras vietas, kur vietÄjam tÄ«klam var nosÅ«tÄ«t pakeÅ”u, un uzbrucÄji zaudÄ interesi, redzot, ka ssh ports ir slÄgts, es nedomÄju, ka viÅi klauvÄs brutÄlu spÄku lai atvÄrtu ostu.
Hei, raksts ir lielisks.
Viena lieta: vai tas kalpo, lai izveidotu savienojumu no vietÄjÄ tÄ«kla?
Es to saku tÄpÄc, ka man ir marÅ”rutÄtÄjs ar slÄgtiem portiem, atÅemot to, kas atbilst ssh, kas tiek novirzÄ«ts uz serveri.
Es iedomÄjos, ka, lai tas darbotos Ärpus lokÄlÄ tÄ«kla, bÅ«s jÄatver marÅ”rutÄtÄja porti, kas atbilst portu klauvÄÅ”anai, un arÄ« tie jÄpÄradresÄ uz serveri.
Mmm ...
Es nezinu, cik droŔi to izdarīt.
Ko tu domÄ?
Es neesmu Ä«sti pÄrliecinÄts, es neesmu veicis testu, bet es domÄju, ka jÄ, jums vajadzÄtu atvÄrt marÅ”rutÄtÄjÄ esoÅ”Äs ostas, pretÄjÄ gadÄ«jumÄ jÅ«s nevarÄsiet izsist serveri.
Veiciet pÄrbaudi, neatverot marÅ”rutÄtÄja porti, ja tas jums nedarbojas, ir kauns, jo es jums piekrÄ«tu, nav ieteicams atvÄrt Ŕīs marÅ”rutÄtÄja porti.
PatieÅ”Äm, mums jÄatver porti un jÄnovirza tie uz datoru, uz kuru zvanÄm.
ŽÄl.
Liels liels paldies! Es tikko sÄku mÄcÄ«ties tÄ«kla karjerÄ, un Ŕīs apmÄcÄ«bas man ir lieliski piemÄrotas! paldies, ka veltÄ«jÄt laiku zinÄÅ”anu dalÄ«Å”anai
Gadu gaitÄ esmu daudz iemÄcÄ«jies kopÄ ar globÄlo Linux kopienu ... dažus gadus esmu vÄlÄjies dot savu ieguldÄ«jumu, tieÅ”i tÄpÄc es rakstu š
Liels paldies, jÅ«s nezinÄt, kÄ tas man palÄ«dz, es gatavojos izveidot serveri, un tas man klÄjas lieliski.
Sveicieni
Tam mÄs esam, lai palÄ«dzÄtu š
Izcils raksts! Man par to nebija ne zinÄÅ”anu, un tas man ļoti palÄ«dz (es izmantoju RackSpace, kas izmanto KVM, tÄpÄc man tas der kÄ cimds!). Pievienots izlasei.
Paldies par komentÄriem š
KÄ parasti DesdeLinux nos trae excelentes post con tutoriales que son realmente utiles para poner en acciĆ³n, gracias por compartir!! š
Paldies par komentÄru š
JÄ, mÄs vienmÄr cenÅ”amies apmierinÄt to slÄpes pÄc zinÄÅ”anÄm, kÄdas ir mÅ«su lasÄ«tÄjiem š
Interesanti, es nezinÄju variantu.
Dodieties tieÅ”i pie manas karbonÄdes bibliotÄkas nobaroÅ”anas.
Paldies!
Man prieks š
Sveicieni
Sveiciens KZKG ^ Gaara !!! JÅ«s saspiedÄt. MilzÄ«gs raksts serveru droŔībai. Nav @% * & ^ idejas, ka Å”Äda lieta pastÄv. Es to izmÄÄ£inÄÅ”u. Paldies
tas ir lieliskiā¦. ^ - ^
Labdien, vai jÅ«s varÄtu paskaidrot, kÄ to instalÄt CentOS 5.x?
Esmu lejupielÄdÄjis apgriezienus minÅ«tÄ:
http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm
InstalÄts:
rpm -i knock-0.5-3.el5.rf.x86_64.rpm
KonfigurÄjiet konfigurÄcijas failu ar 15 sekundÄm laika un portu, kuru izmantoju, lai ar ssh izveidotu savienojumu ar saviem vps
DÄmons sÄkas:
/ usr / sbin / knockd &
Es telnet un nekas ports netiek aizvÄrts, pÄc noklusÄjuma ports ir atvÄrts, bet tas netiek aizvÄrts.
Vai es daru kaut ko nepareizi?
Mmmm, telnet pieprasÄ«jumus Ŕīm ostÄm varÄja uzzinÄt mÅ«su vietÄjÄ tÄ«kla administrators vai mÅ«su pakalpojumu sniedzÄjs. NÄ? Tas bloÄ·Ätu ÄrÄjos cilvÄkus, bet ne viÅus, tÄpÄc, ja viÅi vÄlas aktivizÄt mÅ«su portu, viÅi to varÄja izdarÄ«t, jo skatiet mÄs iesniedzam pieprasÄ«jumus, teiksim, ka tas aizsargÄ, bet ne 100%
Tas varÄtu bÅ«t, bet es nedomÄju, ka viÅi gatavojas iedomÄties, ka noteikts telnets izpilda X darbÄ«bu. Ja vien viÅi neredz, ka tiek ievÄroti tie paÅ”i telnet modeļi.
Interesants raksts, man ir jautÄjums. Es domÄju, ka konfigurÄcijas faila attÄlÄ ir kļūda, jo, ja jÅ«s labi analizÄjat, abÄs komandas rindÄs Iptables izmantojat ACCEPT. Es domÄju, ka vienam vajadzÄtu bÅ«t PIEÅ EMTAM, bet citam - noraidÄ«t.
PretÄjÄ gadÄ«jumÄ lieliska iniciatÄ«va. Liels paldies, ka veltÄ«jÄt laiku, lai izskaidrotu savas zinÄÅ”anas citiem.
Sveicieni