德迅云安全

可信赖的互联网业务安全服务商

< 返回新闻公告列表

如何使用端口碰撞为SSH登录确保安全?

发布时间:2021/10/11 10:26:47    来源: 德迅云安全

Secure Shell是登录到远程Linux服务器的一种事实上的标准。多年来,它为许多管理员提供了良好的服务。但仅仅因为名称中有“Secure”(安全)这个词,并不意味着它总是很安全。事实上,您总是可以采取一些措施使SSH更安全。

                                                             

其中一个方法就是借助端口碰撞(port knocking)。现在,在我们开始之前,我想明确指出,任何使用SSH的人都应该始终做两件事:

          使SSH保持最新版本。

          使用SSH密钥验证。

应该将以上两项都视为使用Secure Shell的标准优秀实践。话虽如此,我还是想向您介绍一种已存在一段时间的工具。其想法是在您的服务器上创建两个碰撞序列,一个打开SSH端口,一个关闭该端口。在您发送打开碰撞序列之前,SSH访问是被关闭的。发送打开序列后,您可以通过SSH连接到该机器。完成工作后,发送关闭序列,SSH将重新被锁起来。

这并不完美,但结合SSH密钥验证,SSH在您的服务器上会安全得多。

下面介绍如何安装和使用knockd以便在SSH上进行端口碰撞。

您需要什么?

我将在Ubuntu Server 20.04 上进行演示,因此您需要该操作系统的运行中实例和拥有sudo权限的用户。您还需要在客户机上拥有sudo权限的用户。至于客户端,我将在Pop!_OS上进行演示。

如何安装knockd?

我们要做的第一件事是在服务器和客户端上安装knockd。登录到服务器,并执行命令:

sudo apt-get install knockd -y

前往客户端,执行同样的命令。

安装完后,您需要注意几个配置。

如何配置knockd?

我们需要做的第一件事是配置knockd 服务。使用以下命令打开knockd配置文件:

sudo nano /etc/knockd.conf

在该文件中,将打开序列从默认的7000,8000,9000改成您想要使用的任何端口序列。您最多可以为此配置七个端口。要配置的行在[openSSH]下:

sequence= 7000,8000,9000

将端口号改成您能记住的序列。

接下来,以相同的方式更改关闭序列(使用不同的端口号)。这一行在[closeSSH]下:

sequence= 9000,8000,7000

接下来,您需要在[openSSH]命令行中将-A改成-I,以便它将是iptables链中的第一条规则。

保存并关闭文件。

接下来,我们需要找到用于SSH流量的网络接口的名称。执行命令:

ip a

找到您使用的IP地址,然后找到如下所示的序列:

2:ens5:

以本文为例,接口的名称是ens5。

使用以下命令打开 Knockd 守护程序文件:

sudo nano /etc/default/knockd

在该文件中,通过将下面行中的0改成1,使守护程序能够在引导时运行:

START_KNOCKD=

接下来,将下面这行中的eth0 改成您网络接口的名称(并删除那个前导#字符):

#KNOCKD_OPTS="-i eth0"

所以这一行看起来像这样:

KNOCKD_OPTS="-i ens5"

保存并关闭文件。

使用以下命令运行并启用knockd:

sudo systemctl start knockd
sudo systemctl enable knockd

如何关闭端口22?

接下来,我们需要关闭端口22,这样流量无法绕过knockd 系统。执行命令:

sudo ufw numbered

如果您有允许SSH流量的规则,它们将被编号并需要被删除。比如说,您的SSH规则是1和2,用以下命令删除它们:

sudo ufwdelete2
sudo ufwdelete1

如何使用knockd?

进入到您的客户机。我们先要做的是发送打开碰撞序列,以便允许SSH流量通过。如果您的碰撞序列是7001,8001,9001,您将执行以下命令:

knock -v SERVER 7001 8001 9001

其中Server是远程服务器的IP地址。

您应该会看到如下输出:

hitting tcp 192.168.1.111:7001
hitting tcp 192.168.1.111:8001
hitting tcp 192.168.1.111:9001

碰撞序列后,您应该随后可以通过SSH连接到该服务器。完成远程工作后,您退出该服务器,然后发送关闭碰撞序列,就像这样:

knock –v SERVER 9001 8001 7001

关闭碰撞序列后,您应该再也无法通过SSH访问该远程服务器(除非您再次发送打开碰撞序列)。

这就是使用knockd以便在远程Linux服务器上更有效地为SSH访问确保安全的方法。记得将knockd安装在需要通过SSH访问那些服务器的任何客户机上。

立即加入,开启安全之旅

只需完成账户认证,即可体验德迅云安全 安全骑士、游戏盾、DDoS高防IP多款安全产品

立即体验
咨询
·
反馈

咨询
·
反馈

产品咨询与购买在线客服,高防咨询,解决方案

技术支持:0577-26676666故障申报,技术支持

申请免费测试

×