Dekedaha shaqola'aanta (af ingiriisi dekedda garaacid) Shaki la'aan waa dhaqan ah in dhammaanteenna maareynaya server-yada ay tahay inay si fiican u ogaadaan, halkan waxaan si faahfaahsan ugu sharraxayaa waxaani yahay iyo sida loo hirgeliyo loona qaabeeyo this
Waqtigan xaadirka ah kuwa naga mid ah ee maamula server waxay leeyihiin marin SSH ee serverka, qaar waxaan bedeleynaa dekedii hore ee SSH oo mar dambe ma isticmaasho dekedda 22 iyo kuwa kale oo si fudud uga taga sida (wax aan lagu talin), hase yeeshe server-ka ayaa u saamaxday marinnada SSH dekedda qaarna tanina waa daciifnimo.
cunt Garaacista Dekedda waxaan ku guuleysan karnaa waxyaabaha soo socda:
1. Gaaritaanka SSH looma oggola deked kasta. Haddii aan hayno SSH dekedda 9191 (tusaale ahaan) dekeddaas (9191) waa loo xirayaa qof walba.
2. Haddii qof doonayo inuu ka helo serverka SSH, sida iska cad ma awoodi doono, maaddaama dekedda 9191 ay xiran tahay ... laakiin haddii aan isticmaalno 'sixir' ama isku darka sirta ah dekedda ayaa la furi doonaa, tusaale ahaan:
1. Waxaan wacaa dekedda 7000 ee serverka
2. Waxaan sameeyaa telnet kale si aan ugu xareeyo 8000 ee serverka
3. Waxaan sameeyaa telnet kale si aan ugu xareeyo 9000 ee serverka
4. Adeeggu wuxuu ogaadaa in qof uu sameeyay isku-darka qarsoodiga ah (taabashada dekadaha 7000, 8000 iyo 9000 ee nidaamkaas) wuxuuna furi doonaa dekedda 9191 si uu u codsado soo galitaanka SSH (wuxuu u furi doonaa oo keliya IP-ga kaas oo isku-darka laga sameeyay lagu qanco) .
5. Hadda si aan u xiro SSH waxaan kaliya telnet u dirayaa 3500
6. Waxaan sameyn doonaa telnet kale si aan u geeyo 4500
7. Iyo ugu dambayn telnet kale oo loo wareejiyo 5500
8. Sameynta isku-dhafkan kale ee qarsoodiga ah ee server-ka uu ogaado wuxuu xiri doonaa dekedda 9191 markale.
Si kale haddii loo dhigo, sharraxaad tan xitaa si fudud ...
cunt Garaacista Dekedda adeegeena ayaa laga yaabaa inuu leeyahay dekedo gaar ah oo xiran, laakiin markii adeeguhu ogaado taas X IP isku darka dekedda saxda ah ayaa la sameeyay (qaabeynta horey loogu qeexay faylka qaabeynta) wuxuu ku fulin doonaa amar gaar ah naftiisa si cad (amar sidoo kale lagu qeexay faylka isku xidhka).
Ma la fahmay? 🙂
Sidee loo rakibaa daemon loogu talagalay Garaacista Port?
Waxaan ku sameeyaa xirmada kufsaday, taas oo noo oggolaan doonta hab aad iyo aad u fudud oo dhakhso leh oo loo hirgeliyo loona qaabeeyo Garaacista Dekedda.
Ku rakib xirmada: knockd
Sidee loo qaabeeyaa garaaca dekedda iyadoo la garaacayo?
Markii aan rakibno waan sii wadeynaa inaan uxirino, tan waxaan usameynaa (asal ahaan) feylka /etc/knockd.conf:
nano /etc/knockd.conf
Sida aad ku arki karto faylkaas waxaa horeyba u jiray qaabeyn asaasi ah:
Sharaxaadda goobaha aasaasiga ah runtii waa wax fudud.
- Marka hore, UseSyslog waxaa loola jeedaa in la duubo waxqabadka (log) waan isticmaali doonaa / var / log / syslog.
- Marka labaad, qaybta [furanSSH] Waa meesha sida cad tilmaamaha lagu furayo SSH ay aadi doonaan, marka hore waxaan heysanaa isku xigxiga dekedaha (isku darka sirta ah) ee qaab ahaan loo qaabeeyey (dekedda 7000, dekedda 8000 iyo ugu dambeyn dekedda 9000) Sida iska cad dekedaha waa la beddeli karaa (runti waan ku talinayaa) sidoo kale ma aha inay noqdaan 3 daruuri, way ka badnaan karaan ama ka yaraan karaan, adiga ayey kugu xiran tahay.
- Saddexaad, seq_timeout = 5 macnaheedu waa waqtiga la sugayo isku darka dekedda qarsoodiga ah inuu dhaco. Ugu badnaan ahaan waxaa loo dhigay 5 ilbiriqsi, tani waxay ka dhigan tahay mar aan bilowno inaan fulino garaacida dekedda (taasi waa, markaan telnet geyno 7000) waxaan heysanaa ugu badnaan 5 ilbiriqsi si aan u dhammeyno isku xigxiga saxda ah, haddii 5 ilbiriqsi dhaafto oo ma dhamaynin garaacista dekedda markaa waxay noqonaysaa uun sidii isku xigxiga oo aan ansax ahayn.
- Afaraad, amarka sharaxaad badan uma baahna. Tani waxay si fudud u noqon doontaa amarka uu serverku fulin doono marka uu ogaado isku darka hore loo qeexay. Amarka lagu dejiyay asal ahaan, waxa ay qabato waa furitaanka dekedda 22 (u beddel dekeddan dekeddaada SSH) oo keliya IP-ga sameeyay isku-darka saxda ah ee dekedaha.
- Shanaad, tcpflags = syn Khadkan waxaan ku cadeynaynaa nooca baakadaha uu adeeguhu u aqoonsan doono inuu ansax u yahay garaaca dekedda.
Kadibna waxaa jira qaybta lagu xiro SSH, in qaabeynta asalka ah aysan ka badneyn isla isku xigxiga dekedaha kor ku xusan laakiin si ka soo horjeed ah.
Halkan waxaa ku yaal qaabeyn leh wax ka beddelka qaarkood:
Sidee loo bilaabaa daemon garaacis ah?
Si aan u bilowno waa inaan marka hore wax ka bedelno (as root ahaan) feylka / iwm / default / garaacid:
nano /etc/default/knockd
Halkaas ayaan ku beddeleynaa lambarka 12 ee oranaya: «START_KNOCKD = 0»Oo u beddelo 0 illaa 1, waxaannu leenahay:«START_KNOCKD = 1«
Marka tan la sameeyo hadda waxaan si fudud u bilaabaynaa:
service knockd start
Iyo voila, waa la qaabeeyey oo shaqeynayaa.
Furitaanka Port la garaacayo oo socda!
Sida aad ku arki karto qaabdhismeedkii hore, haddii garaac deked laga sameeyo dekedda 1000, ka dib illaa 2000 iyo ugu dambayntii 3000 markaa dekedda 2222 (my SSH) ayaa furmi doona, sidoo kale halkan kombuyuutar kale oo fulinaya garaac dekedda:
Mar alla markii aan riixo [Gali] Nock No.1, No.2 iyo ugu dambaynti No.3 dekedda ayaa furmi doonta, waa kan log:
Sidaad u aragto, marka la garaacayo dekedda 1000, marxaladda 1 ayaa la diiwaangeliyey, markaa 2000 waxay noqon doontaa marxaladda 2 iyo ugu dambeyn 3 oo leh 3000, markaad sidan sameyneyso amarkii aan ku dhawaaqay .conf waa la fuliyay waana intaas.
Markaa in la xidho dekedda waxa kaliya oo la garaacayaa 9000, 8000 iyo ugu dambayntii 7000, waa kan log:
Hadana halkan sharaxaadda isticmaalka ayaa dhammaatay 😀
Sidaad u aragto, Knock Port waa runtii mid xiiso leh oo faa'iido leh, maxaa yeelay inkasta oo aynaan rabin inaynu si fudud u furno deked ka dib isku darka dekeddaha qaarkood, amarka ama amarka uu adeeguhu fulinayo way kala duwanaan karaan, taasi waa ... halkii furitaanka dekedda waxaan ku dhawaaqi karnaa inaan dileyno geeddi-socod, joojinno adeeg sida apache ama mysql, iwm ... xadka waa maskaxdaada.
Hagaag iyo ilaa iyo hada maqaalka… Anigu khabiir ugama ahan arinkan laakiin waxaan rabay inaan idinla wadaago howshan xiisaha badan.
Salaan 😀
Maqaal aad u fiican, waa wax aad u xiiso badan oo aanan ogeyn inay jirto ... way fiicnaan laheyd haddii aad sii wadatid inaad maqaallo u soo bandhigto sysadmins-ka cusub
Salaan iyo mahadsanid ^ _ ^
Waad ku mahadsantahay faallooyinkaaga.
Haa ... ma intaas baa qodobbada ku jira DNS-ka ee FICO, ma doonayo inaan LOL gadaal kaga tago !!!
Ma jiraan wax halis ah. Dhowr bilood ka hor waxaan maqlay wax ku saabsan Port Knocking waxayna isla markiiba soo jiidatay dareenkeyga, laakiin tan iyo markii aan u maleynayay inay noqon doonto mid aad u adag waqtigaas ma aanan go'aansan inaan galo, shalay uun ayaan dib u eegay baakadaha qaar ee ka soo baxa repo waxaan ogaaday gantaal go'aansaday in la siiyo isku day, waana tan casharradu.
Marwalba waan jeclaa inaan dhigo maqaallo farsamo, qaar waxaa laga yaabaa inaysan xiiso badan laheyn laakiin… Waxaan rajeynayaa kuwa kale inay yihiin 😉
Salaan
Waad salaaman tahay, waan ogahay in maqaalkani uu jiray in muddo ah laakiin waxaan u dirayaa su'aashayda si aan u arko haddii qof ii xallin karo.
Xaqiiqdu waxay tahay inaan hirgaliyay dekedda garaacaysa miiskayga si aan isugu dayo inaan u hagaajiyo amniga markaan ku xiro meel ka baxsan shabakadda maxalliga ah. Si tan ay u shaqeyso waa inaan furo inta u dhaxeysa dekedaha 7000-9990 router ku hagaya mashiinka. Ma nabad baa in la furo dekedahaas router-ka ama, liddi ku ah, markii aan isku dayayo inaan helo amni dheeri ah, miyaan sameeyaa wax iska soo horjeedda?
Salaan iyo mahadsanid.
Weyn, waxaan ahay sysadmin sanado badan mana aanan aqoon isaga.
Hal su'aal ... sidee u sameysaa "garaaca"?
Miyaad ka hadlaysaa dekadahaas? Muxuu telnet kaaga jawaabayaa? Mise waxaa jira xoogaa amar ah "garaac" amar ah?
Wanaagsan waa maqaal. Cajiib ah. Aad baad u mahadsantahay
Tijaabada waxaan ku sameeyay telnet wax walbana waxay la shaqeeyeen cajaa'ibyo ... laakiin, cajiib ahaan waxaa jira amar 'garaac', samee a nin garaacid markaa waad arki kartaa 😉
Telefonku runti waxba kama jawaabo, waxyaabaha lagu xardho ee loo yaqaan 'DROP policy' ayaa ka dhigaya inaanay ka jawaabin haba yaraatee teleefoonkuna halkaa ayuu ku sii sugnaadaa jawaab (oo aan waligiis iman doonin), laakiin daemon la garaacay ayaa garanaya garaaca xitaa haddii aan cidina ka jawaabin
Aad baad ugu mahadsantahay faalladaada, waa wax lagu farxo in la ogaado in qoraaladaydu wali jecel yihiin ^ _ ^
Lagu Daray Dookhyada! : D!
Gracias!
Mahadsanid 😀
Ahh amniga, dareenkaas wacan ee markaan sugeyno kumbuyuutarka si uu u xirmo, ka dibna maalmo / toddobaadyo ka dib oo aan isku dayeyno inaan ku xirno meelo fog fog ma heli karno maxaa yeelay firewall-ku wuxuu ku jiraa "qofna cidna uma leh" qaabka, tan waxaa lagu magacaabaa joogitaanka bannaanka qalcaddii marka la eego sysadmins. 😉
Taasi waa sababta boostadani ay faa'iido u leedahay, garaacista waxaad ka heli kartaa meel kasta oo u soo diri karta baakad shabakaddaada maxalliga ah, kuwa wax weeraraana way luminayaan xiisaha markay arkaan inay dekedda ssh xiran tahay, uma maleynayo inay garaaci doonaan xoog xoog in la furo dekedda.
Haye, maqaalka waa weyn yahay.
Hal shay: miyuu u adeegaa inuu ku xirmo meel ka baxsan shabakadda maxalliga ah?
Waxaan sidaa u leeyahay maxaa yeelay waxaan haystaa router leh dekeddaha oo laga jaray midka u dhigma ssh ee loo wareejiyay serverka.
Waxaan qiyaasayaa in si ay uga shaqeyso banaanka shabakada maxalliga ah, ay lagama maarmaan noqon doonto in la furo dekedaha routerka u dhigma Port Knocking oo iyaga laga dhigo inay sidoo kale u wareegaan serverka.
Mmm ...
Ma aqaan sida ammaan ah ee tan loo sameeyo.
Maxay kula tahay
Si aad ah uma hubo, ma aanan sameynin tijaabada laakiin waxaan u maleynayaa haa, waa inaad ka furtaa dekedaha router-ka haddii kale ma awoodid inaad garaacdo adeegaha.
Samee tijaabada adigoon ka fureynin dekedaha router-ka, hadii uusan kuu shaqeynayn waa ceeb, maxaa yeelay waan kugu raacsanahay, talo ma ahan inaad furto dekedahan router-ka.
Runtii, waa inaan furno dekedaha oo aan u wareejino kumbuyuutarka aan wacayo.
Naxariis
Aad ayaad u mahadsantahay! Waxaan bilaabayaa barashada isku xirka casharadan ayaa aniga igu weyn! waad ku mahadsantahay waqtiga aad siisay inaad wadaagto aqoonta
Waxbadan ayaan ka bartay sanadihii la soo dhaafay bulshada caalamiga ah ee Linux ... dhowr sano waxaan doonayay inaan sidoo kale wax ku biiriyo, taasi waa sababta aan u qoro 😀
Aad baad u mahadsan tahay, ma ogid sida ay ii caawiso, waxaan qarka u saaran ahay inaan furo server tanina aniga way igu fiicantahay.
Salaan
Taas ayaynu nahay, si aan u caawinno 😉
Maqaal aad u fiican! Aqoon uma lahayn tan waxayna i caawineysaa wax badan (waxaan isticmaalayaa RackSpace oo adeegsada KVM, marka aniga ayey ila habboon tahay sida galoofyada!). Lagu daray kuwa ugu jecel.
Waad ku mahadsantahay faallooyinka 🙂
Sida caadiga DesdeLinux waxay noo keentaa qoraalo aad u fiican oo leh casharo runtii faa'iido leh in la fuliyo, mahadsanid wadaaga!! 🙂
Waad ku mahadsantahay faalladaada 🙂
Haa, waxaan had iyo jeer isku daynaa inaan qancino harraadkaas aqoonta ah ee ay akhristayaasheennu leeyihiin 😀
Xiiso leh, ma aanan ogeyn ikhtiyaarka.
Toos ugu soco naaxinta maktabaddayda jarjaran.
Gracias!
Raaxo ii ah 😀
Salaan
Salaan KZKG ^ Gaara !!! Waad isku tuujisay. Maqaal aad u weyn si loo sugo server-yada. Maya @% * & ^ fikrad ah in waxaas oo kale jiro. Waan isku dayi doonaa. Mahadsanid
tani waa wax weyn…. ^ - ^
Waad salaaman tahay, ma sharxi kartaa sida loogu rakibo CentOS 5.x?
Waxaan soo dejiyey rpm:
http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm
Rakibay:
rpm -i knock-0.5-3.el5.rf.x86_64.rpm
Ku habeyn feylka qaabeynta 15 ilbiriqsi oo waqti ah iyo dekedda aan u adeegsado inaan ku xiro ssh illaa vps-kayga
Jinku wuxuu bilaabaa:
/ usr / sbin / garaac &
Anigu waan garaacayaa waxna ma xidho dekeddu ma xidho, markii hore dekeddu way furan tahay, laakiin ma xidho.
Miyaan wax khaldan samaynayaa?
Hmm, codsiyada telnet ee dekedahaas waxaa wax ka baran kara maamulka shabakadeena maxaliga ah, ama adeeg bixiyaheena, maya? Waxay xanibaysaa dadka dibada ah laakiin ma ahan iyaga, marka hadii ay doonayaan inay dhaqaajiyaan dekadeena way sameyn karaan maxaa yeelay Eeg codsiyada aan sameyno, mmm aan dhahno wey ilaalineysaa laakiin ma ahan 100%
Waxay noqon kartaa, laakiin uma maleynayo inay qiyaasayaan in telnet gaar ah uu fuliyo ficilka X. Ilaa ay arkaan in isla qaababka telnet la raaco.
Maqaal xiiso leh, waxaan qabaa su'aal. Waxaan u maleynayaa inuu qalad ku jiro sawirka feylka qaabeynta, maxaa yeelay haddii aad si sax ah u falanqeyso, labada sadar ee amarka waxaad ku isticmaaleysaa ACCEPT gudaha Iptables. Waxaan u maleynayaa in midkood la aqbalo mid kalena uu noqdo DIID.
Haddii kale, dadaal aad u fiican. Aad baad ugu mahadsantahay waqtiga aad siisay inaad ugu sharaxdo aqoontaada dadka kale.
Salaan