• Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  • Hallo Comunity wie ihr seht haben wir eine Neue Forum Software. Darum bitte ich euch für euer erstes Login die Passwort vergessen Funktion zu nutzen Hier Klicken Wenn nicht, kannst du dich registrieren und Zugang zu unseren wundervollen Foren erhalten, Themen ansehen, Beiträge schreiben und mehr! Also, wenn du noch kein Benutzer der Noobs Community bist, kannst du dich hier anmelden.

Linux SSh mit knockd absichern

Kammi_

Administrator
Mitarbeiter
Registriert seit
23 Oktober 2017
Zustimmungen
28
Ort
Knetzgau
#1
Gelegentlich kommt man in die Verlegenheit dass man daran gebunden ist SSH auf dem Standardport 22 zu betreiben, was sich dann schon nach kurzer Zeit in andauernden Bruteforceattacken niederschlägt. Für diesen Fall ist neben fail2ban oder denyhosts der knockd ein guter Weg den Server gegen unerwünschte Angriffe abzusichern. Doch der Anklopfserver kann noch mehr - er verhindert von vornherein dass Angreifern die Extistenz bestimmter Dienste überhaupt bekannt wird oder kann im Notfall den Webserver neu starten.

Zuerst installieren wir knocked auf unseren System

apt-get update && apt-get install knockd

Standardmäßig muss der Eintrag START_KNOCKD in der /etc/default/knockd auf 1 angepasst werden damit der Daemon überhaupt startet. Anschließend wird das configfile /etc/knockd.conf angepasst - für SSH könnte das z.B. so aussehen:

[options]


logfile = /var/log/knockd.log








[openSSH]


sequence = 1234:tcp,1234:udp,4321:udp,4321:tcp,1234:udp


seq_timeout = 15


tcpflags = syn


start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT


cmd_timeout = 30


stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Anschliessend starten wir den daemon nicht gleich sondern vorerst im debug mode

knockd --debug --verbose

server:



2009-09-21 18:53:32: tcp: 192.168.0.121:49087 -> 192.168.0.18:9000 74 bytes



192.168.0.121: opencloseSSH: Stage 1



2009-09-21 18:53:32: tcp: 192.168.0.121:58850 -> 192.168.0.18:8000 74 bytes



192.168.0.121: opencloseSSH: Stage 2



2009-09-21 18:53:32: tcp: 192.168.0.121:44580 -> 192.168.0.18:7000 74 bytes



192.168.0.121: opencloseSSH: Stage 3



192.168.0.121: opencloseSSH: OPEN SESAME <-- Der Server hat die sequenz erkannt.



opencloseSSH: running command: /sbin/iptables -I INPUT -s 192.168.0.121 -p tcp --dport 22 -j ACCEPT <-- öffnet den Port.



192.168.0.121: opencloseSSH: command timeout <-- 30 Sekunden Später ...



opencloseSSH: running command: /sbin/iptables -D INPUT -s 192.168.0.121 -p tcp --dport 22 -j ACCEPT <-- ... wird der Port wieder geschlossen

Wenn das alles so funktioniert und der Eintrag währen dieser 30 Sekunden auch mit
iptables -L

angezeigt wird. Kann der Daemon über das initscript /etc/init.d/knockd gestartet werden. Allerdings passiert zumindest auf einem Standardsystem hier noch nicht viel, da standardmäßig SSH natürlich nicht gesperrt ist. Dies könnte beispielsweise über

iptables -A INPUT -p tcp --dport 22 --syn -j REJECT

geändert werden. Wie man sieht werden nur syn-Pakete gedropt. Dadurch werden bestehende Verbindungen nicht beeinträchtigt. Sonst würde die frisch hergestellte Verbindung ja binnen 10 Sekunden wieder getrennt werden. Wenn alles funktioniert sollte der Eintrag über die /etc/rc.local übernommen werden damit die Firewall auch bei jedem Neustart wieder angepasst wird.

Wenn das ganze über eine SSH-Verbindung eingerichtet wird sollte diese offen gehalten werden bis alle Tests abgeschlossen sind, wenn was schief geht kommt man sonst womöglich nie wieder an seinen Server
. Falls vorher schon eine iptables Konfiguration existiert müssen die Befehle natürlich daran angepasst werden.

In diesen zip enthalten sind kock.bat und knock.exe für Windows um auf euren Linux Server anzuklopfen

Hier noch ein Bericht über die Zip nicht das einer denkt ich würde einen Virus verbreiten.
https://www.virustotal.com/de/file/789fdf54021e028e856cdb5862644c54502b1928516c2b9fd54c120291714cbb/analysis/1491044662/

(old_inline_attachment)
 

Anhänge

Zuletzt bearbeitet:
Thread starter Similar threads Forum Replies Date
Kammi_ Tutorial 0
Kammi_ Tutorial 0

Similar threads