Jinsi ya Kutumia Kugonga Bandari Ili Kulinda Huduma ya SSH katika Linux

Kubisha Mlango ni mbinu nzuri ya kudhibiti ufikiaji wa mlango kwa kuruhusu tu watumiaji halali kufikia huduma inayoendeshwa kwenye seva. Inafanya kazi kwa njia ambayo wakati mlolongo sahihi wa majaribio ya uunganisho unafanywa, firewall inafungua kwa furaha bandari ambayo ilikuwa imefungwa.

Mantiki ya kugonga mlango ni kupata huduma ya SSH. Kwa madhumuni ya maonyesho, tutatumia Ubuntu 18.04.

Hatua ya 1: Sakinisha na Usanidi kugonga

Ili kuanza, ingia kwenye mfumo wako wa Linux na usakinishe daemoni iliyogongwa kama inavyoonyeshwa.

$ sudo apt install knockd

Mara tu ikiwa imewekwa, fungua usanidi wa knockd.conf na kihariri chako cha maandishi cha mstari wa amri.

$ sudo vim /etc/knockd.conf

Faili ya usanidi chaguo-msingi inaonekana kama ifuatavyo.

Chini ya sehemu ya [openSSH], tunahitaji kubadilisha mfuatano chaguomsingi wa kugonga - 7000,8000,9000 - hadi kitu kingine. Hii ni kwa sababu thamani hizi tayari zinajulikana na zinaweza kuathiri usalama wa mfumo wako.

Kwa madhumuni ya majaribio, tumeweka thamani kuwa 10005, 10006, 10007. Huu ni mlolongo utakaotumika kufungua mlango wa SSH kutoka kwa mfumo wa mteja.

Katika mstari wa tatu - unaoanza na amri, badilisha -A hadi -I baada tu ya /sbin/iptables amri na kabla ya INPUT .

Na mwisho, chini ya sehemu ya [closeSSH], tena, badilisha mlolongo chaguo-msingi kuwa chaguo lako unalopendelea. Huu ndio mlolongo ambao utatumika kufunga muunganisho wa SSH mara tu mtumiaji atakapomaliza na kutoka nje ya seva.

Huu hapa ni usanidi wetu kamili.

Mara tu ukimaliza, hifadhi mabadiliko na uondoke.

Usanidi mwingine tunaohitaji kurekebisha ni /etc/default/knockd. Kwa mara nyingine tena, ifungue kwa kutumia kihariri chako cha maandishi.

$ sudo vim /etc/default/knockd

Tafuta mstari START_KNOCKD=0. Itoe maoni na uweke thamani kuwa 1.

Kisha, nenda kwenye mstari KNOCKD_OPTS=-i eth1” Iondoe maoni na ubadilishe thamani chaguomsingi ya eth1 na kiolesura amilifu cha mtandao cha mfumo wako. Kuangalia kiolesura chako cha mtandao endesha tu ifconfig amri.

Kwa mfumo wetu, enp0s3 ndiyo kadi ya mtandao inayotumika.

Mpangilio kamili ni kama inavyoonyeshwa.

Hifadhi mabadiliko na uondoke.

Kisha anza na uwashe daemon iliyogongwa kama inavyoonyeshwa.

$ sudo systemctl start knockd
$ sudo systemctl enable knockd

Ili kuangalia hali ya daemon iliyogongwa, endesha amri:

$ sudo systemctl status knockd

Hatua ya 2: Funga Mlango wa SSH 22 Kwenye Firewall

Kwa kuwa lengo la huduma iliyogongwa ni kutoa au kukataa ufikiaji wa huduma ya ssh, tutafunga ssh bandari kwenye ngome. Lakini kwanza, hebu tuangalie hali ya firewall ya UFW.

$ sudo ufw status numbered

Kutoka kwa matokeo, tunaweza kuona wazi kwamba mlango wa SSH 22 umefunguliwa kwenye itifaki za IPv4 na IPv6 zilizo na nambari 5 na 9 mtawalia.

Tunahitaji kufuta sheria hizi mbili kama inavyoonyeshwa, kuanzia na thamani ya juu zaidi - ambayo ni 9.

$ sudo ufw delete 9
$ sudo ufw delete 5

Sasa, ukijaribu kuingia kwa mbali kwa seva, utapata hitilafu ya muunganisho wa kuisha kama inavyoonyeshwa.

Hatua ya 3: Sanidi mteja wa kubisha ili Kuunganisha kwa Seva ya SSH

Katika hatua ya mwisho, tutasanidi mteja na kujaribu kuingia kwa kutuma kwanza mlolongo wa kubisha ambao tulisanidi kwenye seva.

Lakini kwanza, sakinisha daemon iliyogongwa kama ulivyofanya kwenye seva.

$ sudo apt install knockd

Mara usakinishaji utakapokamilika, tuma mlolongo wa kubisha kwa kutumia syntax iliyoonyeshwa

$ knock -v server_ip knock_sequence

Kwa upande wetu, hii ina maana:

$ knock -v 192.168.2.105 10005 10006 10007

Unapaswa kupata matokeo sawa na tuliyo nayo, kulingana na mlolongo wako. Hii inaonyesha kuwa majaribio ya kubisha yalifanikiwa.

Katika hatua hii, unapaswa kuwa katika nafasi ya kuingia kwa seva kwa ufanisi kwa kutumia SSH.

Mara tu unapomaliza kufanya kazi yako kwenye seva ya mbali, funga mlango wa SSH kwa kutuma mlolongo wa kufunga wa kubisha.

$ knock -v 192.168.2.105 10007 10006 10005

Jaribio lolote la kuingia kwenye seva litashindwa kama ilivyoonyeshwa.

Hii inahitimisha mwongozo huu wa jinsi ya kuongeza kugonga mlangoni ili kupata huduma ya SSH kwenye seva yako. Mbinu bora na rahisi itakuwa kusanidi uthibitishaji wa nenosiri la SSH kwa kutumia jozi za vitufe vya SSH. Hii inahakikisha kwamba ni mtumiaji aliye na ufunguo wa faragha pekee ndiye anayeweza kuthibitisha kwa seva ambayo ufunguo wa umma umehifadhiwa.