Często jest tak ze pasowało by mieć udostępnione ssh na zewnętrz, tak aby zarządzać zdalnie serwerem.
Funkcja bardzo przydatna jednak niebezpieczna, zostawienie serwera ssh tak aby każdy mógł sie z nim połączyć to ryzykowna decyzja.
Dla tego zastosujemy dwa zabezpieczenia. Port knocking oraz zabezpieczenie przed atakami brute force.
Port knocking to funkcja która otwiera dany port jeśli zastukamy w inny wcześniej wybrany. Czyli port ssh 22 jest zablokowany do momentu aż nie nawiążemy połączenia na wybranym wcześniej porcie.
Aby było bezpieczniej ustawiamy limit czasowy, powiedzmy 60 sekund, tyle dokładnie mamy czasu na zalogowanie sie na ssh, inaczej port zostanie ponownie zamknięty.
Mam nadzieje ze nie napisałem tego zbyt zawile i wiadomo o co chodzi.
Kolejnym zabezpieczeniem jest limitowanie połączeń do ssh, powiedzmy jedno połączenie na 60 sekund.
Skuteczne zabezpieczenie przed atakami typu brute force.
Pierwsze i najważniejsze co potrzebujemy to plik ipt_recent.o
bez niego iptables nie ma potrzebnych funkcji aby to co jest niżej działało.
ipt_recent.o możemy skompilować samodzielnie korzystając z Build Tree brazilfw-2.30-build.tar.bz2 .
Obsługi Build Tree nie będe opisywać, może później udostępnie skompilowany plik aby każdy mógł sciągnąć.
Plik ipt_recent.o kopiujemy do /lib/modules/advroute/
Nastepnie musimy edytowac plik /etc/modules.advroute, na koniec pliku dopisujemy ipt_recent
Jesli wszystko zrobione to wydajemy polecenie: backup
Uruchamiamy ponownie brazilfw i to wszystko.
teraz wydajemy polecenia:
- Código: Selecionar todos
iptables -A PREROUTING -t mangle -p tcp -m tcp --dport 22 -m recent --rcheck --name SSHGO --seconds 60 -j ACCEPT
iptables -A PREROUTING -t mangle -p tcp -m tcp --dport 12345 -m recent --set --name SSHGO
To co jest wyzej odblokowuje ssh na porcie 22 wtedy jeśli zastukamy na port 12345, od zastukania mamy 60sekund na połączenie inaczej port automatycznie zostanie zamknięty.
- Código: Selecionar todos
iptables -A PREROUTING -t mangle -p tcp -m tcp --dport 22 -m recent --update --hitcount 2 --seconds 60 --name SSHIN -j DROP
iptables -A PREROUTING -t mangle -p tcp -m tcp --dport 22 -m recent --set --name SSHIN -j ACCEPT
To co jest wyżej ustawia limit połączen do ssh, maksymalnie jedno połączenie na 60s.
Dzięki ipt_recent.o brazilfw ma większe możliwosci. Możemy np. zrobić blokowanie użytkowników którzy wysyłaja spam, albo rozsyłają wirusy.
Można zrobić sprytyny serwer który będzie sam odcinał użytkownika w momencie jak on będzie próbował przeskanować jego porty.
Więcej fajnych funkcji iptables pod tym linkiem http://danieldegraaf.afraid.org/info/iptables/examples