Knock SSH - Adicionando uma camada extra de segurança no servidor
Hoje vamos falar do Knock, uma ferramenta muito interessante para quem precisar acessar seus servidores remotamente. Bom o que o Knock faz, ele adiciona essa camada a mais da seguinte forma, por exemplo se acessamos nosso servidor pela porta 22 do ssh ela deveria estar liberada. Porém com Knock ela pode estar bloqueada, você acertando uma sequência específica de portas ele irá liberar a porta 22, e somente se acertar a sequencia definida.
No servidor
Precisamos instalar somente um pacote em nosso servidor:
|
|
O arquivo de configuração fica no /etc/knockd.conf. Eis a configuração padrão que veio no Debian.
Eu alterei para a configuração ficar como no exemplo abaixo, sempre colocando a regra de ACCEPT na primeira linha, pois caso tenha sido bloqueada e seja adiciona no final do arquivo a regra não funcionará.
|
|
Após editaremos o arquivo /etc/default/knockd para especificar nossa placa de rede:
|
|
Feito a configuração reiniciaremos o serviço:
|
|
Caso não tenha a porta 22 fechada, vamos fecha-lá. Lembrando que isso deve estar no script firewall do seu servidor.
|
|
No cliente
No cliente instalaremos o mesmo utilitário, porém sem precisar fazer as configurações feitas anteriormente.
|
|
Agora vamos bater nas portas em sequência conforme configurado no nosso servidor (7000, 8000, 9000)
|
|
Com as batidas corretamente executadas, podemos verificar o log do nosso servidor e veremos que o foi passado por 3 estágios e após os mesmos estarem corretos, nosso porta 22 foi liberada pelo firewall
|
|
E assim podemos conectar normalmente sem bloqueio nenhum.
|
|
Fechando a porta
Depois de fazer tudo que era necessário podemos fechar a porta novamente, acertando a sequência de fechamento que também é incluida no nosso arquivo de configuração do servidor.
|
|
E a porta será fechada novamente conforme o log nos informa:
|
|
E era isso, acredito que seja uma camada bem interessante para nossos servidores e o mais importante, não colocando portas padrões na configuração, será muito mais dificil acertar a sequência para poder liberar o ssh.
Um forte abraço