كيفية استخدام Port Knocking لتأمين خدمة SSH في Linux

منفذ يطرق هي تقنية أنيقة للتحكم في الوصول إلى منفذ من خلال السماح للمستخدمين الشرعيين فقط بالوصول إلى الخدمة التي تعمل على الخادم. إنه يعمل بطريقة أنه عند إجراء التسلسل الصحيح لمحاولات الاتصال ، يفتح جدار الحماية بكل سرور المنفذ الذي تم إغلاقه.

المنطق وراء طرق الميناء هو حماية نظام Linux الخاص بك من ماسحات المنافذ الآلية التي تجوب المنافذ المفتوحة. في هذا الدليل ، ندرس كيف يمكنك تثبيت طرق توصيل المنفذ وكيف يمكنك تكوينه خدمة SSH الآمنة. لأغراض العرض ، سوف نستخدم نظام التشغيل Ubuntu 18.04.2018.

الخطوة 1: تثبيت وتكوين knockd

للبدء ، قم بتسجيل الدخول إلى نظام Linux الخاص بك وقم بتثبيت ملف طرقت الخفي كما هو موضح.

sudo apt install knockd. 

بمجرد التثبيت ، افتح ملف knockd.conf التكوين مع الخاص بك محرر النص المفضل. هنا ، نحن نستخدم ملف vim محرر نص سطر الأوامر.

sudo vim /etc/knockd.conf $. 

يظهر ملف التكوين الافتراضي على النحو التالي.

knockd ملف التكوين
knockd ملف التكوين

تحت [openSSH] في القسم ، نحتاج إلى تغيير تسلسل الطرق الافتراضي - 7000,8000,9000 - لشيء آخر. هذا لأن هذه القيم معروفة بالفعل ويمكن أن تعرض أمن نظامك للخطر.

لأغراض الاختبار ، قمنا بتعيين القيم على 10005, 10006, 10007. هذا هو التسلسل الذي سيتم استخدامه افتح منفذ SSH من نظام العميل.

في السطر الثالث - بدءًا من قيادة، يتغيرون ل -أنا فقط بعد /sbin/iptables الأمر وقبل ذلك إدخال.

وأخيرًا ، تحت [closeSSH] ، مرة أخرى ، قم بتغيير التسلسل الافتراضي إلى اختيارك المفضل. هذا هو التسلسل الذي سيتم استخدامه لإغلاق اتصال SSH بمجرد انتهاء المستخدم وتسجيل الخروج من الخادم.

هنا التكوين الكامل لدينا.

knockd إعدادات التكوين
knockd إعدادات التكوين

بمجرد الانتهاء ، احفظ التغييرات واخرج.

التكوين الآخر الذي نحتاج إلى تعديله هو /etc/default/knockd. مرة أخرى ، افتحه باستخدام محرر النصوص الخاص بك.

$ sudo vim / etc / default / knockd. 
إعدادات التكوين الافتراضية knockd
إعدادات التكوين الافتراضية knockd

حدد موقع الخط START_KNOCKD = 0. أزل التعليق واضبط القيمة على 1.

بعد ذلك ، توجه إلى الخط KNOCKD_OPTS = "- i eth1" أزل التعليق واستبدل الافتراضي eth1 قيمة مع واجهة الشبكة النشطة لنظامك. للتحقق من واجهة الشبكة ، ما عليك سوى تشغيل ملف عنوان IP أو ال الأمر ifconfig.

بالنسبة لنظامنا ، enp0s3 هي بطاقة الشبكة النشطة.

واجهة الشبكة النشطة
واجهة الشبكة النشطة

التكوين الكامل كما هو مبين.

knockd تكوينات القيم
knockd تكوينات القيم

احفظ التغييرات و اخرج.

ثم ابدأ وتمكين طرقت الخفي كما هو موضح.

بدء نظام التشغيل sudo $ knockd. sudo systemctl $ تمكين knockd. 

للتحقق من حالة طرقت البرنامج الخفي ، قم بتشغيل الأمر:

sudo systemctl status knockd. 
تحقق من حالة knockd
تحقق من حالة knockd

الخطوة 2: أغلق منفذ SSH 22 على جدار الحماية

منذ هدف طرقت الخدمة هي إما منح أو رفض الوصول إلى خدمة ssh ، سنقوم بإغلاق منفذ ssh على جدار الحماية. لكن أولاً ، دعنا نتحقق من حالة جدار حماية UFW.

تم ترقيم حالة $ sudo ufw. 
تحقق من حالة UFW
تحقق من حالة UFW

من الإخراج يمكننا أن نرى ذلك بوضوح SSH ميناء 22 مفتوح على كليهما IPv4 و IPv6 البروتوكولات مرقمة 5 و 9 على التوالى.

نحتاج إلى حذف هاتين القاعدتين كما هو موضح ، بدءًا من أعلى قيمة - وهي 9.

sudo ufw حذف 9. sudo ufw حذف 5. 
حذف قواعد UFW
حذف قواعد UFW

الآن ، إذا حاولت تسجيل الدخول عن بُعد إلى الخادم ، فستتلقى خطأ انتهاء مهلة الاتصال كما هو موضح.

مهلة اتصال SSH
مهلة اتصال SSH

الخطوة 3: قم بتكوين عميل knock للاتصال بخادم SSH

في الخطوة الأخيرة ، سنقوم بتهيئة العميل ومحاولة تسجيل الدخول عن طريق إرسال تسلسل الضربة القاضية الذي قمنا بتكوينه على الخادم أولاً.

لكن أولاً ، قم بالتثبيت طرقت الخفي تمامًا كما فعلت على الخادم.

sudo apt install knockd. 

بمجرد اكتمال التثبيت ، أرسل تسلسل النقر باستخدام الصيغة الموضحة

$ knock -v server_ip knock_sequence. 

في حالتنا ، هذا يترجم إلى:

طرق الدفع 192.168.2.105 $ 10005 10006 10007. 

يجب أن تحصل على إخراج مشابه لما لدينا ، اعتمادًا على التسلسل الخاص بك. هذا يدل على أن محاولات الضرب كانت ناجحة.

ضرب تسلسل
ضرب تسلسل

في هذه المرحلة ، يجب أن تكون في وضع يسمح لك بتسجيل الدخول بنجاح إلى الخادم باستخدام SSH.

الاتصال بالخادم باستخدام Knockd
الاتصال بالخادم باستخدام Knockd

بمجرد الانتهاء من أداء عملك على الخادم البعيد ، أغلق منفذ SSH عن طريق إرسال تسلسل الإغلاق.

طرق الدفع 192.168.2.105 $ 10007 10006 10005. 

ستفشل أي محاولات لتسجيل الدخول إلى الخادم كما هو موضح.

أغلق منافذ SSH
أغلق منافذ SSH
خواطر ختامية

يختتم هذا الدليل حول كيفية الاستفادة من طرق طرق المنفذ لتأمين خدمة SSH على الخادم الخاص بك. سيكون النهج الأفضل والأسهل تكوين مصادقة SSH لكلمة المرور باستخدام أزواج مفاتيح SSH. هذا يضمن أن المستخدم الذي لديه المفتاح الخاص فقط يمكنه المصادقة مع الخادم الذي تم تخزين المفتاح العام عليه.

Teachs.ru