Упадљиве луке (на енглеском луко куца) је без сумње пракса коју бисмо сви који управљамо серверима требали добро знати, овде детаљно објашњавам шта је то и како то применити и конфигурисати 😉
Тренутно ми који управљамо сервером имамо ССХ приступ том серверу, неки мењамо подразумевани порт ССХ и више не користи порт 22, а други га само остављају тако (нешто се не препоручује), међутим сервер је омогућио ССХ приступ преко неког порта и то је већ „рањивост“.
са Лупање луке можемо постићи следеће:
1. Ниједан порт не омогућава ССХ приступ. Ако смо конфигурисали ССХ за порт 9191 (на пример), тај порт (9191) ће бити затворен за све.
2. Ако неко жели приступити серверу путем ССХ-а, очигледно неће моћи, јер је порт 9191 затворен ... али, ако користимо „магију“ или тајну комбинацију, тај порт ће се отворити, на пример:
1. Ја телефонирам на порт 7000 сервера
2. Радим још један телнет за порт 8000 сервера
3. Радим још један телнет за порт 9000 сервера
4. Сервер открива да је неко направио тајну комбинацију (додирни портови 7000, 8000 и 9000 тим редоследом) и отвориће порт 9191 да затражи пријаву од ССХ (отвориће га само за ИП адресу од које је комбинација направљена број порта задовољавајући).
5. Сада да затворим ССХ, само сам телнет на порт 3500
6. Урадићу још један телнет до порта 4500
7. И на крају још један телнет за порт 5500
8. Извођењем ове друге тајне комбинације коју сервер открије поново ћете затворити порт 9191.
Другим речима, објашњавајући ово још једноставније ...
са Лупање луке наш сервер може имати затворене одређене портове, али када сервер то открије X ИП је направљена тачна комбинација порта (конфигурација претходно дефинисана у конфигурационој датотеци) извршиће одређену команду на себи очигледно (команда такође дефинисано у конфигурационој датотеци).
Да ли се разуме? 🙂
Како инсталирати демон за лупање порта?
Ја то радим са пакетом коцкд, што ће нам омогућити на врло, врло једноставан и брз начин да применимо и конфигуришемо Лупање луке.
Инсталирајте пакет: knockd
Како конфигурисати лупање порта помоћу кноцкд-а?
Једном инсталирани настављамо да га конфигуришемо, за то уређујемо (као роот) датотеку /етц/кноцкд.цонф:
nano /etc/knockd.conf
Као што видите у тој датотеци већ постоји подразумевана конфигурација:
Објашњење подразумеваних поставки је заиста једноставно.
- Први, УсеСислог значи да ћемо за бележење активности (евиденције) користити / вар / лог / сислог.
- Друго, у одељку [опенССХ] Тамо ће очигледно ићи упутства за отварање ССХ-а, прво имамо редослед портова (тајна комбинација) који је подразумевано конфигурисан (порт 7000, порт 8000 и на крају порт 9000). Очигледно је да се портови могу мењати (у ствари то препоручујем), као и да не морају бити 3, могу бити више или мање, зависи од вас.
- Треће, сек_тимеоут = 5 значи време чекања да се тајна комбинација порта одржи. Подразумевано је постављено на 5 секунди, то значи да када почнемо да изводимо куцање порта (то јест, када се телнет повежемо на 7000) имамо највише 5 секунди да завршимо тачну секвенцу, ако прође 5 секунди и нисмо довршили лупање порта, тада ће једноставно бити као да је секвенца неваљана.
- Четврто, команда не треба много објашњења. Ово ће једноставно бити наредба коју ће сервер извршити када открије горе дефинисану комбинацију. Команда која је подразумевано постављена да ради је да отвори порт 22 (промените овај порт за свој ССХ порт) само на ИП који је направио исправну комбинацију портова.
- Пето, тцпфлагс = синх Овом линијом одређујемо врсту пакета које ће сервер препознати као важеће за куцајући порт.
Затим постоји одељак за затварање ССХ-а, да подразумевана конфигурација није ништа друго до исти редослед горе наведених портова већ у супротном редоследу.
Ево конфигурације са неким изменама:
Како покренути кноцкд даемон?
Да бисмо га покренули, прво морамо модификовати (као роот) датотеку / етц / дефаулт / кноцкд:
nano /etc/default/knockd
Тамо мењамо ред број 12 који каже: «СТАРТ_КНОЦКД = 0»А ако променимо 0 на 1, добили бисмо:«СТАРТ_КНОЦКД = 1«
Једном када је ово готово, једноставно га започињемо:
service knockd start
И воила, конфигурисан је и ради.
Куцање у луку с куцањем и трчањем!
Као што можете видети у претходној конфигурацији, ако се лупање порта изврши на порт 1000, затим на 2000 и на крају на 3000, онда ће се отворити порт 2222 (мој ССХ), па овде ће се извршити још један рачунар који извршава куцање порта:
Једном када притиснем [Ентер] на Кноцк Но.1, на Но.2 и на крају на Но.3 отворит ће се порт, ево дневника:
Као што видите, приликом куцања порта 1000, регистрована је фаза 1, тада ће 2000. бити фаза 2 и на крају 3 са 3000, када се то ради, команда коју сам прогласио у .цонф се извршава и то је то.
Тада би затварање порта значило само куцање 9000, 8000 и коначно 7000, ево дневника:
И овде се објашњавање употребе завршава 😀
Као што видите, лупање порта је заиста занимљиво и корисно, јер иако не желимо једноставно да отворимо порт након одређене комбинације портова, наредба или налог који ће сервер извршити може се разликовати, то јест ... уместо отварање порта можемо прогласити да убијамо процес, заустављамо услугу као што је апацхе или мискл, итд ... ограничење је ваша машта.
Па и до сада чланак ... Ја нисам далеко стручњак за ово питање, али желео сам да поделим са вама овај занимљив процес.
Поздрав 😀
Одличан чланак, прилично је занимљив и нисам знао да постоји ... било би сјајно ако наставите да објављујете чланке за сисадмин почетнике и то 😀
Поздрав и хвала ^ _ ^
Хвала вам на коментару.
Да ... то је да чланцима о ДНС-у ФИЦО-а не желим да останем иза себе ЛОЛ !!!
Ништа озбиљно. Пре неколико месеци чуо сам нешто о Порт Кноцкингу и то ми је одмах привукло пажњу, али пошто сам у то време мислио да ће бити веома сложено, нисам одлучио да уђем, баш јуче прегледавајући неке пакете из репо-а открио сам кноцкд и одлучио да покуша, а ево и упутства.
Увек сам волео да стављам техничке чланке, неки можда нису довољно занимљиви, али ... надам се да су други 😉
поздрави
Здраво, знам да овај чланак постоји већ неко време, али покрећем свој упит да видим може ли неко да га реши уместо мене.
Чињеница је да сам применио куцање порта на моју малину како бих покушао да побољшам безбедност када се на њу повежем изван локалне мреже. Да би ово функционисало, морао сам да отворим опсег портова на рутеру 7000-9990 који усмеравају на машину. Да ли је сигурно отворити те портове на рутеру или напротив, када покушавам да имам већу сигурност, радим ли супротно?
Поздрав и хвала.
Супер, годинама сам сисадмин и нисам га познавао.
Једно питање ... како се ради "куцање"?
Да ли телефонирате против тих лука? Шта вам телнет одговара? Или постоји нека команда "куцни" талас?
Супер је чланак. Спектакуларно. Хвала пуно
Направио сам тест са телнет-ом и све је учинило чуда ... али, знатижељно је да постоји команда 'куцај', уради а човек куца тако да можете видети 😉
Телнет ми заправо уопште не одговара, иптаблес са ДРОП политиком чини да уопште не реагује и телнет остаје тамо чекајући одговор (који никада неће стићи), али кноцкд даемон ће препознати куцање чак и ако не један одговара 😀
Хвала вам пуно на коментару, задовољство ми је знати да моји чланци и даље воле ^ _ ^
Додато у Фаворите! : Д
Хвала!
Хвала 😀
Ах, сигурност, онај пријатан осећај када осигуравамо рачунар на висини, а затим данима / недељама касније покушавајући да се повежемо са неког удаљеног места којем не можемо да приступимо, јер је заштитни зид у режиму „нико ни за кога“, то се зове боравак изван дворац у погледу сисадмина. 😉
Због тога је овај пост тако користан, са кноцкд-ом можете приступити са било ког места које може послати пакет на вашу локалну мрежу, а нападачи губе интересовање када виде да је ссх порт затворен, мислим да неће ударати грубом силом да се отвори лука.
Хеј, чланак је сјајан.
Једно: да ли служи за повезивање изван локалне мреже?
Кажем ово јер имам рутер са затвореним портовима минус онај који одговара ссх-у који је преусмерен на сервер.
Претпостављам да ће да би функционисао изван локалне мреже бити потребно отворити портове рутера који одговарају Порт Кноцкингу и учинити их преусмеравањем такође на сервер.
Ммм…
Не знам колико је сигурно то учинити.
Шта мислиш?
Нисам баш сигуран, нисам обавио тест, али мислим да да, требало би да отворите портове на рутеру, у супротном нећете моћи да закуцате сервер.
Урадите тест без отварања портова на рутеру, ако вам то не одговара штета је, јер се слажем са вама, није препоручљиво отварати ове портове на рутеру.
Заправо, морамо да отворимо портове и преусмеримо их на рачунар који зовемо.
Штета.
Велико хвала! Тек почињем да учим умрежавање и ови водичи су ми одлични! хвала што сте одвојили време за поделу знања
Током година научио сам много са глобалном Линук заједницом ... већ неколико година желим и ја да дам свој допринос, управо зато пишем 😀
Пуно вам хвала, не знате како ми помаже, спрема се да поставим сервер и ово ми иде супер.
поздрави
За то смо и ми, да помогнемо 😉
Одличан чланак! Нисам знао за ово и много ми помаже (користим РацкСпаце који користи КВМ, тако да ми одговара као рукавица!). Додато у омиљене.
Хвала на коментару 🙂
Као и обично DesdeLinux nos trae excelentes post con tutoriales que son realmente utiles para poner en acción, gracias por compartir!! 🙂
Хвала вам на коментару 🙂
Да, увек се трудимо да утажимо ту жеђ за знањем коју имају наши читаоци 😀
Занимљиво, нисам знао опцију.
Идите право на товљење моје библиотеке котлета.
Хвала!
Задовољство за мене 😀
поздрави
Поздрав КЗКГ ^ Гаара !!! Стиснуо си. Страшан чланак о заштити сервера. Нема @% * & ^ идеје да тако нешто постоји. Ја ћу пробати. Хвала вам
ово је супер…. ^ - ^
Здраво, можете ли да објасните како да га инсталирате у ЦентОС 5.к?
Преузео сам рпм:
http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm
Инсталирано:
rpm -i knock-0.5-3.el5.rf.x86_64.rpm
Конфигуришите конфигурациону датотеку са 15 секунди времена и порт који користим за повезивање ссх-ом са својим впс-ом
Демон започиње:
/ уср / сбин / кноцкд &
Ја телнет и ништа се порт не затвара, подразумевано је порт отворен, али се не затвара.
Радим ли нешто погрешно?
Мммм, телнет захтеве за те портове могао би да научи администратор наше локалне мреже или наш добављач услуга, не? То би блокирало спољне људе, али не и њих, па ако желе да активирају наш порт, могли би то да учине јер захтеви које подносимо, ммм рецимо да штити, али не 100%
Могло би бити, али мислим да неће замишљати да одређени телнет извршава Кс акцију. Осим ако не виде да се следе исти обрасци телнет-а.
Занимљив чланак, имам питање. Мислим да постоји грешка у слици конфигурационе датотеке, јер ако добро анализирате, у оба реда команде користите АЦЦЕПТ у Иптаблес-у. Мислим да би неко требао бити ПРИХВАТЕН, а други ОДБИЈАТИ.
Иначе, изврсна иницијатива. Пуно вам хвала што сте одвојили време да другима објасните своје знање.
поздрави