51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何使用端口碰撞为SSH登录确保安全?

译文
作者:布加迪
安全 网站安全
您需要牢牢锁定服务器,以便只有您可以通过SSH来访问。而使用knockd是帮助加强安全的一种方法。本文介绍了具体方法。

[[427610]] 

【51CTO.com快译】Secure Shell是登录到远程Linux服务器的一种事实上的标准。多年来,它为许多管理员提供了良好的服务。但仅仅因为名称中有“Secure”(安全)这个词,并不意味着它总是很安全。事实上,您总是可以采取一些措施使SSH更安全。

其中一个方法就是借助端口碰撞(port knocking)。现在,在我们开始之前,我想明确指出,任何使用SSH的人都应该始终做两件事:

  • 使SSH保持最新版本。
  • 使用SSH密钥验证。

应该将以上两项都视为使用Secure Shell的标准优秀实践。话虽如此,我还是想向您介绍一种已存在一段时间的工具。其想法是在您的服务器上创建两个碰撞序列,一个打开SSH端口,一个关闭该端口。在您发送打开碰撞序列之前,SSH访问是被关闭的。发送打开序列后,您可以通过SSH连接到该机器。完成工作后,发送关闭序列,SSH将重新被锁起来。

这并不完美,但结合SSH密钥验证,SSH在您的服务器上会安全得多。

下面介绍如何安装和使用knockd以便在SSH上进行端口碰撞。

您需要什么?

我将在Ubuntu Server 20.04 上进行演示,因此您需要该操作系统的运行中实例和拥有sudo权限的用户。您还需要在客户机上拥有sudo权限的用户。至于客户端,我将在Pop!_OS上进行演示。

如何安装knockd?

我们要做的第一件事是在服务器和客户端上安装knockd。登录到服务器,并执行命令:

  1. sudo apt-get install knockd -y 

前往客户端,执行同样的命令。

安装完后,您需要注意几个配置。

如何配置knockd?

我们需要做的第一件事是配置knockd 服务。使用以下命令打开knockd配置文件:

  1. sudo nano /etc/knockd.conf 

在该文件中,将打开序列从默认的7000,8000,9000改成您想要使用的任何端口序列。您最多可以为此配置七个端口。要配置的行在[openSSH]下:

  1. sequence = 7000,8000,9000 

将端口号改成您能记住的序列。

接下来,以相同的方式更改关闭序列(使用不同的端口号)。这一行在[closeSSH]下:

  1. sequence = 9000,8000,7000 

接下来,您需要在[openSSH]命令行中将-A改成-I,以便它将是iptables链中的第一条规则。

保存并关闭文件。

接下来,我们需要找到用于SSH流量的网络接口的名称。执行命令:

  1. ip a 

找到您使用的IP地址,然后找到如下所示的序列:

  1. 2:ens5: 

以本文为例,接口的名称是ens5。

使用以下命令打开 Knockd 守护程序文件:

  1. sudo nano /etc/default/knockd 

在该文件中,通过将下面行中的0改成1,使守护程序能够在引导时运行:

  1. START_KNOCKD= 

接下来,将下面这行中的eth0 改成您网络接口的名称(并删除那个前导#字符):

  1. #KNOCKD_OPTS="-i eth0" 

所以这一行看起来像这样:

  1. KNOCKD_OPTS="-i ens5" 

保存并关闭文件。

使用以下命令运行并启用knockd:

  1. sudo systemctl start knockd 
  2. sudo systemctl enable knockd 

如何关闭端口22?

接下来,我们需要关闭端口22,这样流量无法绕过knockd 系统。执行命令:

  1. sudo ufw numbered 

如果您有允许SSH流量的规则,它们将被编号并需要被删除。比如说,您的SSH规则是1和2,用以下命令删除它们:

  1. sudo ufw delete 2 
  2. sudo ufw delete 1 

如何使用knockd?

进入到您的客户机。我们先要做的是发送打开碰撞序列,以便允许SSH流量通过。如果您的碰撞序列是7001,8001,9001,您将执行以下命令:

  1. knock -v SERVER 7001 8001 9001 

其中Server是远程服务器的IP地址。

您应该会看到如下输出:

  1. hitting tcp 192.168.1.111:7001 
  2. hitting tcp 192.168.1.111:8001 
  3. hitting tcp 192.168.1.111:9001 

碰撞序列后,您应该随后可以通过SSH连接到该服务器。完成远程工作后,您退出该服务器,然后发送关闭碰撞序列,就像这样:

  1. knock –v SERVER 9001 8001 7001 

关闭碰撞序列后,您应该再也无法通过SSH访问该远程服务器(除非您再次发送打开碰撞序列)。

这就是使用knockd以便在远程Linux服务器上更有效地为SSH访问确保安全的方法。记得将knockd安装在需要通过SSH访问那些服务器的任何客户机上。

原文标题:How to secure SSH logins with port knocking,作者:Jack Wallen

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

 

责任编辑:华轩 来源: 51CTO
SSH安全服务器
相关推荐
如何使用Docker Content Trust容器确保安全
在跨联网系统交换数据时,信任是一个关键问题。在通过像互联网这样不可靠的媒介进行交互时,为系统依赖的所有数据的发布者确保完整性尤为重要。需要强大的加密保证来保护数据,这时候DockerContentTrust(DCT)有了用武之地。

2022-12-28 08:00:00

安全容器
智慧城市如何“通过设计确保安全”?
PaloAlto中东和非洲首席安全官HaiderPasha表示,没有强大的网络安全系统,智慧城市就会存在缺陷。

2020-09-22 11:34:29

物联网
在云中确保安全的五个技巧
随着采用云计算战略并开始充分意识到云计算技术可以提供的回报,企业可以做些什么来改善他们的风险状况以下是在云中确保安全的五个技巧。

2021-09-14 10:25:12

云计算云计算环境云安全
工业物联网有什么优势,企业如何确保安全?
新兴技术潜力是巨大的,正在不断发展并以极快的速度发展。因此,企业必须考虑如何最好地采用工业物联网作为有利于业务的计划的一部分。反过来,这种洞察力水平可以有助于未来的商业决策和成功。

2018-01-23 07:00:09

如何使用物联网身份验证和授权来确保安全
IT管理员可以根据延迟和数据需求,确定哪种物联网身份验证和授权类型(例如单向或三向)将为他们提供最佳服务。

2021-01-13 09:41:00

物联网身份验证授权
在后疫情时代如何通过零信任边缘确保安全
为了加强自身安全,更好地保护自己的数字资产免于新远程办公世界中出现的威胁和攻击,企业应实施零信任策略。

2021-09-03 20:25:57

零信任网络安全网络攻击
生成树协议如何防止网络环路并确保安全
生成树协议,通常称为STP,是一种在OSI模型的数据链路层运行的网络协议。其最初在IEEE802.1D规范中进行了标准化,此后随着快速生成树协议(RSTP)和多生成树协议(MSTP)等后续版本不断发展。

2023-05-15 17:53:54

在后疫情时代通过零信任边缘确保安全
为了加强自身安全,更好地保护自己的数字资产免于新远程办公世界中出现的威胁和攻击,企业应实施零信任策略。零信任安全模式不存在安全与员工应用程序访问便捷性之间的“取舍”,因此适合几乎所有类型的企业。

2021-09-03 20:58:45

零信任
面对危机,如何实现削减预算的同时确保安全性?
由于新冠疫情(COVID19)等危机事件的影响,全球业务遭受重创,众多企业开始骤然削减预算,此举可能会对安全性产生长期负面的影响。本文将为大家介绍5个削减成本的同时确保安全性的方法。

2020-09-27 10:59:28

信息安全新冠疫情削减预算
智能汽车有隐患 特斯拉招募黑客确保安全
近日负责特斯拉汽车安全漏洞的高管帕吉特女士(KristinPaget),参加了美国黑客大会。并在大会上招募20到30名优秀黑客加盟特斯拉公司,其目的正是让黑客们专门解决特斯拉电动车的信息安全风险,并且找到安全漏洞进行消除。

2014-08-18 10:09:53

加密技术不是确保安全的万能药
通常情况下,对于安全来说加密是不可缺少的部分。但在有的时间,它也可能只是一种不必要的负担。

2009-06-22 09:16:00

无线网络加密网络安全
云原生应用程序和数据需要确保安全
将数据作为云原生应用程序的一部分进行管理非常困难。对于许多企业而言,当前冠状病毒疫情带来的压力加剧了他们在软件开发方面所面临的挑战。数字化转型已从一种增长战略变成了一种生存之道。在线商务几乎在一夜之间得到爆炸式增长,达到了只有在假日期间才会出现的水平。

2020-07-23 10:39:33

云计算云原生安全
固态硬盘上存储的数据能确保安全
时下最新潮的固态硬盘或许并不安全。很少有专家认为:擦除存储在固态硬盘上的数据比擦除存储在普通硬盘上的数据来得困难。业内专家们被这项研究大吃一惊,但是强调市面上有些固态硬盘本生具有加密功能,就算硬盘报废后,也能防止里面的数据被人看到;一些固态硬盘销毁方法比另一些更有效。

2011-03-31 14:25:33

Web应用程序确保安全需要搬掉这几大绊脚石
为了更好地了解最新的安全威胁和模式,韦里逊最近发布了《2019年数据泄露调查报告》(DBIR),报告基于来自全球86个国家的41686次已确认的安全事件和2013次数据泄密的实际数据。

2019-06-21 09:54:09

Web 开发代码
确保安全使用LAMP开源开发工具的四步曲
用过LAMP的人们都知道,LAMP是由Linux+Apache+Mysql+PerlPHPPython一起组成的,那你们是怎么确保安全使用LAMP的,那下面我给大家仔细讲下安全的使用方法!

2011-03-22 17:51:57

确保安全让电脑插入自己U盘后才能启动
为了确保自己电脑的安全,避免他人随便开启自己的电脑查看自己的私密信息,除了设置个人密码外,还可以通过简单的设置让电脑只有在插入自己的U盘后才能启动,否则启动后即自动关机,以下是该方法的实现过程....

2009-07-18 12:19:47

windowsU盘安全启动
新的浏览器缓存策略变更:舍弃性能、确保安全
通常,缓存可以通过存储数据来提高性能,从而可以更快后面相同数据的请求。在Chrome中,缓存机制以多种方式使用,HTTP缓存就是一个示例。

2020-11-01 16:58:13

浏览器缓存
三大方法确保安全制度
安全业内广泛流传着“三分技术、七分管理”的说法,说明制度的建立和落地是何其的重要,据悉,超过70%的信息安全威胁来自企业内部,其核心数据的流失居然有80%源于内部人员的违规操作或管理疏忽,这样看来我们必须要讨论一下安全制度的落地问题了。

2014-03-06 18:24:27

安全制度技术防御信息安全
Win7存在巨大安全隐患? 升级最新Win10真能确保安全?
今天,一则“赶快抛弃Win7!微软催促用户升级最新版Win10:为安全”的消息,再次阐述Windows7甚至XP一直是微软的“眼中钉”,微软采取各式手段催促用户升级到Windows10这个问题。

2017-08-30 17:40:27

Win7Win10安全
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服