日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用端口碰撞為SSH登錄確保安全?

Secure Shell是登錄到遠程Linux服務器的一種事實上的標準。多年來,它為許多管理員提供了良好的服務。但僅僅因為名稱中有“Secure”(安全)這個詞,并不意味著它總是很安全。事實上,您總是可以采取一些措施使SSH更安全。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設、成都網(wǎng)站設計、網(wǎng)頁設計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務。立足成都服務興安盟,10多年網(wǎng)站建設經(jīng)驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:028-86922220

其中一個方法就是借助端口碰撞(port knocking)?,F(xiàn)在,在我們開始之前,我想明確指出,任何使用SSH的人都應該始終做兩件事:

  • 使SSH保持最新版本。
  • 使用SSH密鑰驗證。

應該將以上兩項都視為使用Secure Shell的標準優(yōu)秀實踐。話雖如此,我還是想向您介紹一種已存在一段時間的工具。其想法是在您的服務器上創(chuàng)建兩個碰撞序列,一個打開SSH端口,一個關閉該端口。在您發(fā)送打開碰撞序列之前,SSH訪問是被關閉的。發(fā)送打開序列后,您可以通過SSH連接到該機器。完成工作后,發(fā)送關閉序列,SSH將重新被鎖起來。

這并不完美,但結合SSH密鑰驗證,SSH在您的服務器上會安全得多。

下面介紹如何安裝和使用knockd以便在SSH上進行端口碰撞。

您需要什么?

我將在Ubuntu Server 20.04 上進行演示,因此您需要該操作系統(tǒng)的運行中實例和擁有sudo權限的用戶。您還需要在客戶機上擁有sudo權限的用戶。至于客戶端,我將在Pop!_OS上進行演示。

如何安裝knockd?

我們要做的第一件事是在服務器和客戶端上安裝knockd。登錄到服務器,并執(zhí)行命令:

 
 
      
  
  1. sudo apt-get install knockd -y 
    2.

前往客戶端,執(zhí)行同樣的命令。

安裝完后,您需要注意幾個配置。

如何配置knockd?

我們需要做的第一件事是配置knockd 服務。使用以下命令打開knockd配置文件:

 
 
      
  
  1. sudo nano /etc/knockd.conf 
    2.

在該文件中,將打開序列從默認的7000,8000,9000改成您想要使用的任何端口序列。您最多可以為此配置七個端口。要配置的行在[openSSH]下:

 
 
      
  
  1. sequence = 7000,8000,9000 
    2.

將端口號改成您能記住的序列。

接下來,以相同的方式更改關閉序列(使用不同的端口號)。這一行在[closeSSH]下:

 
 
      
  
  1. sequence = 9000,8000,7000 
    2.

接下來,您需要在[openSSH]命令行中將-A改成-I,以便它將是iptables鏈中的第一條規(guī)則。

保存并關閉文件。

接下來,我們需要找到用于SSH流量的網(wǎng)絡接口的名稱。執(zhí)行命令:

 
 
      
  
  1. ip a 
    2.

找到您使用的IP地址,然后找到如下所示的序列:

 
 
      
  
  1. 2:ens5: 
    2.

以本文為例,接口的名稱是ens5。

使用以下命令打開 Knockd 守護程序文件:

 
 
      
  
  1. sudo nano /etc/default/knockd 
    2.

在該文件中,通過將下面行中的0改成1,使守護程序能夠在引導時運行:

 
 
      
  
  1. START_KNOCKD= 
    2.

接下來,將下面這行中的eth0 改成您網(wǎng)絡接口的名稱(并刪除那個前導#字符):

 
 
      
  
  1. #KNOCKD_OPTS="-i eth0" 
    2.

所以這一行看起來像這樣:

 
 
      
  
  1. KNOCKD_OPTS="-i ens5" 
    2.

保存并關閉文件。

使用以下命令運行并啟用knockd:

 
 
      
  
  1. sudo systemctl start knockd 
    2.   
  
  2. sudo systemctl enable knockd 
    3.

如何關閉端口22?

接下來,我們需要關閉端口22,這樣流量無法繞過knockd 系統(tǒng)。執(zhí)行命令:

 
 
      
  
  1. sudo ufw numbered 
    2.

如果您有允許SSH流量的規(guī)則,它們將被編號并需要被刪除。比如說,您的SSH規(guī)則是1和2,用以下命令刪除它們:

 
 
      
  
  1. sudo ufw delete 2 
    2.   
  
  2. sudo ufw delete 1 
    3.

如何使用knockd?

進入到您的客戶機。我們先要做的是發(fā)送打開碰撞序列,以便允許SSH流量通過。如果您的碰撞序列是7001,8001,9001,您將執(zhí)行以下命令:

 
 
      
  
  1. knock -v SERVER 7001 8001 9001 
    2.

其中Server是遠程服務器的IP地址。

您應該會看到如下輸出:

 
 
      
  
  1. hitting tcp 192.168.1.111:7001 
    2.   
  
  2. hitting tcp 192.168.1.111:8001 
    3.   
  
  3. hitting tcp 192.168.1.111:9001 
    4.

碰撞序列后,您應該隨后可以通過SSH連接到該服務器。完成遠程工作后,您退出該服務器,然后發(fā)送關閉碰撞序列,就像這樣:

 
 
      
  
  1. knock –v SERVER 9001 8001 7001 
    2.

關閉碰撞序列后,您應該再也無法通過SSH訪問該遠程服務器(除非您再次發(fā)送打開碰撞序列)。

這就是使用knockd以便在遠程Linux服務器上更有效地為SSH訪問確保安全的方法。記得將knockd安裝在需要通過SSH訪問那些服務器的任何客戶機上。


本文題目:如何使用端口碰撞為SSH登錄確保安全?
網(wǎng)址分享:http://www.5511xx.com/article/ccdhgjd.html