SSH hardening va port knocking

SSH (Secure Shell) — serverlarga xavfsiz ulanish va boshqarish uchun eng ko‘p ishlatiladigan protokollardan biri. SSH xizmatini to‘g‘ri sozlash (hardening) va port knocking texnologiyasidan foydalanish server xavfsizligini sezilarli darajada oshiradi.

1. SSH hardening (SSH xavfsizligini oshirish)

SSH hardening — bu SSH xizmatini turli hujumlardan himoyalash uchun maxsus sozlamalar va amaliyotlar to‘plami.

1.1. Standart portni o‘zgartirish

Standart port (22) ko‘plab avtomatik hujumlar nishoni bo‘ladi. Uni o‘zgartirish tavsiya etiladi:

sudo nano /etc/ssh/sshd_config

Port 2222

So‘ngra, SSH xizmatini qayta ishga tushiring:

sudo systemctl restart ssh

1.2. Root foydalanuvchi uchun ulanishni o‘chirish

PermitRootLogin no

1.3. Parol orqali autentifikatsiyani o‘chirish va faqat kalitlar orqali ulanish

PasswordAuthentication no

1.4. Maxsus foydalanuvchilar ro‘yxatini cheklash

AllowUsers user1 user2

1.5. Fail2ban bilan SSH himoyasi

Fail2ban yordamida ko‘p marta noto‘g‘ri parol kiritgan IP manzillarni avtomatik bloklash mumkin (yuqoridagi Fail2ban bo‘limiga qarang).

2. Port knocking

Port knocking — bu serverga kirish uchun maxsus portlar ketma-ketligiga so‘rov yuborish orqali asosiy portni ochish texnologiyasi. Bu usul server portlarini yashirish va avtomatik hujumlardan himoyalash uchun ishlatiladi.

2.1. Knockd o‘rnatish

sudo apt install knockd

2.2. Knockd konfiguratsiyasi

/etc/knockd.conf faylini tahrirlang:

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 2222 -j ACCEPT
    tcpflags    = syn

[closeSSH]
    sequence    = 9000,8000,7000
    seq_timeout = 5
    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 2222 -j ACCEPT
    tcpflags    = syn

2.3. Knockd xizmatini ishga tushirish

sudo systemctl enable knockd
sudo systemctl start knockd

2.4. Port knocking orqali ulanish

Klientdan quyidagi ketma-ketlikda so‘rov yuboring:

knock server_ip 7000 8000 9000

So‘ngra, SSH orqali ulaning:

ssh user@server_ip -p 2222

Xulosa

SSH hardening va port knocking yordamida serveringizni avtomatik hujumlardan, brute-force urinishlardan va root foydalanuvchi orqali kirishdan himoyalash mumkin. Bu amaliyotlar server xavfsizligini oshirishda eng

1. SSH hardening (SSH xavfsizligini oshirish)​

1.1. Standart portni o‘zgartirish​

1.2. Root foydalanuvchi uchun ulanishni o‘chirish​

1.3. Parol orqali autentifikatsiyani o‘chirish va faqat kalitlar orqali ulanish​

1.4. Maxsus foydalanuvchilar ro‘yxatini cheklash​

1.5. Fail2ban bilan SSH himoyasi​

2. Port knocking​

2.1. Knockd o‘rnatish​

2.2. Knockd konfiguratsiyasi​

2.3. Knockd xizmatini ishga tushirish​

2.4. Port knocking orqali ulanish​

Xulosa​