RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [轉貼]Portknocking 觀念與 iptables 實作技術以保護SSH等公開服務   字型大小:||| 
material
鐵驢友〔初級〕
等級: 4


 . 積分: 36
 . 文章: 42
 . 收花: 263 支
 . 送花: 600 支
 . 比例: 2.28
 . 在線: 961 小時
 . 瀏覽: 1120 頁
 . 註冊: 6642
 . 失蹤: 1683
 . TWed2k-DVD幫
#1 : 2008-3-3 10:00 PM     只看本作者 引言回覆

如果你有遠端使用SSH且Client端無法使用固定IP的話
下列文章使用Portknocking的觀念並利用iptables + recent module
解決SSH port 22被亂try帳號的問題


轉貼連結



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
sekihusky
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 20
 . 文章: 98
 . 收花: 48 支
 . 送花: 16 支
 . 比例: 0.33
 . 在線: 113 小時
 . 瀏覽: 11672 頁
 . 註冊: 7037
 . 失蹤: 239
 . 台彎
#2 : 2008-3-3 11:53 PM     只看本作者 引言回覆

上面講的是伺服器的設定方面..
但是客戶端這邊也有配套的方法可以用
其實這個可以利用bat批次檔來配合使用
這樣就是一把專用的開門鑰匙了



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
chaeung
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
GOD

 . 積分: 264
 . 文章: 1337
 . 收花: 1379 支
 . 送花: 1 支
 . 比例: 0
 . 在線: 1321 小時
 . 瀏覽: 16502 頁
 . 註冊: 7973
 . 失蹤: 858
#3 : 2008-3-4 12:17 AM     只看本作者 引言回覆

個人獨斷的偏見:

這種純轉貼實在是...

該文所描述的... 怎麼說呢... 有一半是錯的(至少不是正確的), 前半段的介紹倒還靠譜, 後面就愈來愈奇怪, 這的確是一種概念技術, 在下稍微補充一下, 有興趣的人可以自行查看原文網頁.

安全, 永遠是server的第一重點, 因此衍伸出許多技術, PortKnocking是其中滿有趣的一個.

公開的server無法避免來自網路的探測, open的port更是入侵者加強攻擊的重點, 基本上只要能確定這台server存在並online, 就遲早有被攻陷的一天.

那麼, 如何避免被確認存在並online? 只要有service在run就一定有port是open的, PortKnocking的概念就是: 在firewall上面下工夫, 就是裝死, 所有port對全部封包都毫無反應假裝自己沒開機, 但是firewall躺著裝死時卻是豎起耳朵默默listen, 任何port只要有封包進來都可以記錄, 寫個script檢查記錄, 例如事先設定GOD的暗號是"This is GOD", 那麼script檢查記錄時就會注意: 有沒有某一IP在規定時間(例如3秒或5秒自定)內在任意port(亂數決定)分成任意段(亂數分割,最少不可少於2段任意切,最多可分11段每段1個字元)丟進來的封包訊息照時間順序組合起來完全符合(包括大小寫)"This is GOD"這個暗號, 那麼就對這個IP來的封包開放port 22 ssh, 別人來"嗅"port 22時firewall繼續裝死, 只要script寫得好, 更高級的就是client端送出的暗號在打散後亂數加入字元, script在記錄中自行找出符合的案號, 也可以送上百組暗號才開門, 把那些側錄封包的駭客玩死, 沒人會對一個空的IP的所有port一一作暴力解碼, 也不可能在規定時間內完成暴力解碼, 所以server安全性大增. <-這是概念.

很有趣吧? 敲個門三長兩短就開門, 不過限制也不少, 到現在都沒能普及, 還只是個好玩的玩具而已.

以上



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
azactam
銅驢友〔初級〕
等級: 8等級: 8


今日心情

 . 積分: 128
 . 文章: 230
 . 收花: 630 支
 . 送花: 7604 支
 . 比例: 12.07
 . 在線: 2779 小時
 . 瀏覽: 49137 頁
 . 註冊: 7029
 . 失蹤: 1
#4 : 2008-3-6 02:52 PM     只看本作者 引言回覆

目前小弟是用fail2ban+iptables來防範別人來亂踹系統,但對sekihusky兄所言感到興趣,可以請sekihusky兄稍微講解一下"利用bat批次檔來配合使用...."的方法嗎?謝謝!!


引用:
sekihusky寫到:
上面講的是伺服器的設定方面..
但是客戶端這邊也有配套的方法可以用
其實這個可以利用bat批次檔來配合使用
這樣就是一把專用的開門鑰匙了



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ponda
鐵驢友〔初級〕
等級: 4


 . 積分: 33
 . 文章: 72
 . 收花: 196 支
 . 送花: 80 支
 . 比例: 0.41
 . 在線: 205 小時
 . 瀏覽: 4340 頁
 . 註冊: 6676
 . 失蹤: 2832
#5 : 2008-3-22 03:41 PM     只看本作者 引言回覆

鳥哥的私房菜網站有提供另外一個相關方式的應用,提供給大家參考看看。

http://linux.vbird.org/
裡面的Linux 安全管理有介紹一個Knockd的方式。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-3-29 07:43 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025334 second(s), 8 queries , Qzip disabled