Настройка и защита SSH соединения.

В предыдущей статье мы установили FreeBSD на компьютер и сконфигурировали в качестве шлюза с DHCP - сервером. Тем самым, мы решили задачу автоматического конфигурирования сети локальных компьютеров и предоставили им доступ к интернет. 

Теперь можно задуматься об удаленном управлении сервером посредством ssh. Но это откроет пробел в безопасности нашего сервера, т.к. частенько такие сервера взламываются брутфорсом.

Далее рассмотрим настройку соединения ssh в связке с sshguard, утилитой блокирующей атаки связанные с подборкой пароля.

Разрешаем соединение с сервером посредством ssh, добавив строку в/etc/rc.conf

sshd_enable=”YES”

 

Теперь создадим аккаунт от имени которого и будем заходить по ssh.

Вводим:

#sysinstall

В открывшемся меню выбираем Configure > UserManagement

 

Создаем пользователя, вводя логин/пароль. Обязательно указываем группуwheel, это группа администраторов.

 

Теперь мы сможем соединиться с сервером по ssh, указывая при входе учетные данные созданного пользователя. Для того, чтобы после входа получить привилегии администратора, нужно выполнить команду:

#su

И ввести пароль от root-аккаунта.

 

Теперь нужно обеспечить безопасность установив утилиту sshguard из портов:

 

#cd /usr/ports/security/sshguard-pf
#make install clean

 

Проверяем /etc/syslog.conf на существование следующей строчки:
auth.info;authpriv.info |exec /usr/local/sbin/sshguard -a 3 -p 9200 -s 12000

Эта запись, говорит о том, что после 3 неправильных вводов пароля, хост с которого ведется подключение, будет заблокирован на 9200 секунд, а при повторном нарушении на 12000 минут. 

 

Теперь добавим в фвйл /etc/pf.rules следующую запись

table <sshguard> persist
block in quick on $if_ext proto tcp from <sshguard> to any label "ssh bruteforce"

 

Чтобы проверить работу, можно нарочно ошибиться несколько раз, а затем посмотреть в лог файл по пути /var/log/messages, должны появиться такие записи

 

Прокидываем порт до компьютера в локальой сети.

 

Итак, мы настроили ssh соединение и защитили его. Далее у Вас может встать вопрос о пробросе определенного порта до компьютера/сервера находящегося в локальной сети за нашим freebsd-маршрутизатором, это нужно, например, если у Вас стоит вэб-сервер в локальной сети, или Вы просто хотите получить удаленный доступ до определенного компьютера. Как это сделать? -Очень просто! И в этом нам поможет утилита rinetd.

Rinetd - простейший редиректор портов. Все, что он умеет, можно реализовать с помощью файервола (например pf), но существует масса ситуаций, когда проще и надежней воспользоваться именно rinetd.

Для установки, перейдем в каталог порта:

#cd /usr/ports/net/rinetd

#make install clean

 

После того, как инсталяция окончена, приступаем к настройке конфигурационного файла /usr/local/etc/rinetd.conf:

 

Записи в rinetd строятся следующим образом:

ip сервера%Порт подключения%ip локального хоста%Порт назначения

В приведенном на скриншоте примере, настроена переадресация всего, что приходит на ip 91.252.252.48(это внешний адрес моего сервера), tcp порт 8080, внутрь моей локальной сети на ip 192.168.1.50, 80 порт.

Включим автозагрузку rinetd, добавив строку в /etc/rc.conf

rinetd_enable="YES"

Теперь можно запускать:

#/usr/local/etc/rc.d/rinetd start

 

Проверить работоспособность можно соеденившись telnet:

#telnet 91.252.252.48 8080

 

И если мы увидим:


Значит все вышло так, как мы и задумывали!

 

Итого

Сегодня мы добавили возможность управлять сервером удаленно и защитились от подбора пароля, а также научились пробрасывать TCP порты внутрь локальной сети посредством утилиты rinetd.

В следующей статье мы рассмотрим задачу организации полноценного домена на FreeBSD с использованием пакета Samba в режиме PDC,  поддерживающего сквозную аутентификацию пользователей для доступа к Интернет с возможностью учета и фиксации их траффика с помощью squid c ntlm - авторизацией. И все это - на одном компьютере или плате ALIX!!!

Обсудить статью можно в соответствующем РАЗДЕЛЕ нашего ФОРУМА.

 (c)shop.nativepc.ru

При цитировании любой части данной статьи ссылка на shop.nativepc.ru обязательна!