Диджитализируй! Защита SSH-сервера порты, ключи, port knocking, iptables
🎯 Загружено автоматически через бота:
🚫 Оригинал видео:
📺 Данное видео является собственностью канала Диджитализируй!. Оно представлено в нашем сообществе исключительно в информационных, научных, образовательных или культурных целях. Наше сообщество не утверждает никаких прав на данное видео. Пожалуйста, поддержите автора, посетив его оригинальный канал: @t0digital.
✉️ Если у вас есть претензии к авторским правам на данное видео, пожалуйста, свяжитесь с нами по почте support@, и мы немедленно удалим его.
📃 Оригинальное описание:
Мой курс «Хардкорная веб-разработка» —
Книжный клуб Ботаним!, где мы читаем хорошие ИТ-книги:
Telegram —
0:00 О port knocking
1:19 Что такое сетевые порты в TCP и UDP?
3:17 Замена стандартного порта SSH-сервера
4:24 Запрет SSH-входа по паролю
4:56 Что делать, если потеряешь SSH-ключи?
6:23 Запрет входа root
6:33 Port knocking и безопасность
8:52 Покупка сервера в Selectel
9:40 Создание SSH-ключа с паролем
11:16 Создание Linux-пользователя
12:43 Разрешаем SSH-вход пользователю
13:47 Базовая настройка SSH-сервера
15:51 Настройка port knocking с knockd, iptables и nmap
25:50 Ещё несколько возможностей iptables
26:30 Как сделать сервер непингуемым?
28:01 Выводы
Команды из видео
===
Генерация SSH-ключей:
ssh-keygen -t ed25519
Копирование публичного ключа:
cat ~/.ssh/ | pbcopy
Редактирование настроек SSH-сервера:
sudo vim /etc/ssh/sshd_config
Настройки:
AllowUsers www
PermitRootLogin no
PasswordAuthentication no
Port 45916
Рестарты SSH-сервера:
sudo service ssh restart
Установка knockd:
sudo apt install -y knockd
Редактирование его настроек:
sudo vim /etc/
Настройки:
[options]
UseSyslog
Interface = enp3s0
[SSH]
sequence = 7000,8000,9000
seq_timeout = 5
tcpflags = syn
start_command = /sbin/iptables -I INPUT -s %IP% -p tcp —dport 45916 -j ACCEPT
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp —dport 45916 -j ACCEPT
cmd_timeout = 60
Здесь enp3s0 это сетевой интерфейс, проверяется командой:
ip a
Автозапуск:
sudo vim /etc/default/knockd
START_KNOCKD=1
KNOCKD_OPTS=“-i enp3s0“
Сетевой интерфейс аналогично подставляется актуальный вместо enp3s0.
Старт knockd:
sudo systemctl start knockd
sudo systemctl enable knockd
sudo systemctl status knockd
Настройка iptables и перманентное сохранение этих настроек:
sudo iptables -A INPUT -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp —dport 45916 -j REJECT
sudo apt install iptables-persistent
sudo service netfilter-persistent save
Просмотр настроек:
sudo iptables -L —line-numbers
Постучаться в три порта — 7000, 8000 и 9000 сервера с IP :
for x in 7000 8000 9000; do nmap -Pn —max-retries 0 -p $x ; done
Сброс всех настроек iptables:
sudo iptables -F
Запрет ping хоста:
sudo iptables -A INPUT -p icmp —icmp-type 8 -j DROP
Удаление этого правила:
sudo iptables -D INPUT -p icmp —icmp-type 8 -j DROP
/****************** about ******************/
Меня зовут Алексей Голобурдин, я программирую с 2004 года и на этом канале делюсь своим опытом. Я основатель и руководитель компаний:
— Диджитализируй , разрабатываем сложные IT системы для бизнеса;
— Salesbeat , комплексный модуль доставки для интернет магазинов.
Telegram канал —
ВК —
RuTube —
Дзен —
7 months ago 00:28:50 3
8 months ago 00:28:49 35
![[Диджитализируй!] Защита SSH-сервера — порты, ключи, port knocking, iptables](https://sun9-78.userapi.com/impg/v__VL4M9aLSOLnUX2P7yPAy5jpUgybjqR5tbZQ/U4EFMZMUrGA.jpg?size=320x240&quality=95&keep_aspect_ratio=1&background=000000&sign=373eaec6f06f76269285b34cced389c0&c_uniq_tag=6w_xejT-5Z5nkmuZRI6ZZWuDDrzGgxBJ9x7NFxBKYSQ&type=video_thumb)