Tutoriel système
Linux
Comment utiliser le coup de port pour sécuriser le service SSH dans Linux
Comment utiliser le coup de port pour sécuriser le service SSH dans Linux
Le coup de port est une technique astucieuse de contrôler l'accès à un port en permettant uniquement aux utilisateurs légitimes d'accéder au service exécuté sur un serveur. Il fonctionne de telle manière que lorsque la bonne séquence de connexion tente, le pare-feu ouvre avec plaisir le port qui a été fermé.
La logique derrière le coup de port consiste à protéger votre système Linux à partir de scanners de port automatisés qui rôdent les ports ouverts. Dans ce guide, nous examinons comment vous pouvez installer le coup de port et comment vous pouvez le configurer pour sécuriser le service SSH. À des fins de démonstration, nous utiliserons Ubuntu 18.04 .
Étape 1: Installer et configurer le coup
Pour commencer, connectez-vous à votre système Linux et installez le démon Knockd comme indiqué.
$ sudo apt install knockd
Une fois installé, ouvrez la configuration knockd.conf avec votre éditeur de texte préféré. Ici, nous utilisons l'éditeur de texte de ligne de commande VIM.
$ sudo vim /etc/knockd.conf
Le fichier de configuration par défaut apparaît comme suit.
Dans le cadre de la section [openSSH] , nous devons modifier la séquence de coup par défaut - 7000,8000,9000 - en quelque chose d'autre. En effet, ces valeurs sont déjà connues et peuvent compromettre la sécurité de votre système.
À des fins de test, nous avons réglé les valeurs sur 10005, 10006, 10007 . Il s'agit de la séquence qui sera utilisée pour ouvrir le port SSH à partir d'un système client.
Dans la troisième ligne - en commençant par la commande , changez -A en -I juste après la commande /sbin/iptables et avant INPUT .
Et enfin, dans le cadre de la section [closeSSH] , encore une fois, modifiez la séquence par défaut dans votre choix préféré. Il s'agit de la séquence qui sera utilisée pour fermer la connexion SSH une fois l'utilisateur terminé et se déconnecter du serveur.
Voici notre configuration complète.
Une fois que vous avez terminé, enregistrez les modifications et sortez.
Une autre configuration que nous devons modifier est le / etc / default / knockd . Encore une fois, ouvrez-le en utilisant votre éditeur de texte.
$ sudo vim / etc / par défaut / knockd
Localisez la ligne START_KNOCKD=0 . Décommentez-le et définissez la valeur sur 1 .
Ensuite, dirigez-vous vers la ligne KNOCKD_OPTS=”-i eth1” Décommentez-le et remplacez la valeur eth1 par défaut par l'interface réseau active de votre système. Pour vérifier votre interface réseau, exécutez simplement l'addr IP ou la commande ifconfig.
Pour notre système, ENP0S3 est la carte réseau active.
La configuration complète est comme indiqué.
Enregistrez les modifications et sortez.
Commencez ensuite et activez le démon Knockd comme indiqué.
$ sudo systemctl Start Knockd $ sudo systemctl activer knockd
Pour vérifier l'état de Knockd Daemon, exécutez la commande:
$ sudo systemctl status knockd
Étape 2: Fermer le port SSH 22 sur le pare-feu
Étant donné que l'objectif du service Knockd est d'accorder ou de refuser l'accès au service SSH, nous allons fermer le port SSH sur le pare-feu. Mais d'abord, vérifions l'état du pare-feu UFW.
$ sudo ufw status numérotés
À partir de la sortie, nous pouvons clairement voir que le port SSH 22 est ouvert sur les protocoles IPv4 et IPv6 numérotés respectivement 5 et 9 .
Nous devons supprimer ces deux règles comme indiqué, en commençant par la valeur la plus élevée - qui est 9 .
$ sudo ufw supprimer 9 $ sudo ufw supprimer 5
Maintenant, si vous essayez de vous connecter à distance au serveur, vous obtiendrez une erreur de délai d'expiration de connexion comme indiqué.
Étape 3: Configurez un client Knock pour se connecter au serveur SSH
Dans la dernière étape, nous configurerons un client et tenterons de se connecter en envoyant d'abord la séquence de knock que nous avons configurée sur le serveur.
Mais d'abord, installez Knockd Daemon comme vous l'avez fait sur le serveur.
$ sudo apt install knockd
Une fois l'installation terminée, envoyez la séquence de coups à l'aide de la syntaxe affichée
$ knock -v server_ip knock_sequence
Dans notre cas, cela se traduit par:
$ knock -v 192.168.2.105 10005 10006 10007
Vous devriez obtenir une sortie similaire à ce que nous avons, en fonction de votre séquence. Cela montre que les tentatives de coups ont réussi.
À ce stade, vous devriez être en mesure de vous connecter avec succès au serveur à l'aide de SSH.
Une fois que vous avez terminé votre travail sur le serveur distant, fermez le port SSH en envoyant la séquence de coups de fermeture.
$ knock -v 192.168.2.105 10007 10006 10005
Toute tentative de connexion au serveur échouera comme démontré.
Réflexions de clôture
Cela conclut ce guide sur la façon de tirer parti du coup de port pour sécuriser le service SSH sur votre serveur. Une approche meilleure et plus facile serait de configurer l'authentification SSH du mot de passe à l'aide de paires de clés SSH. Cela garantit que seul l'utilisateur avec la clé privée peut s'authentifier avec le serveur sur lequel la clé publique est stockée.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Exigences du système pour installer Linux
Jul 20, 2025 am 03:49 AM
LinuxCanrunonModesthardwarewithSpecificminimumRequirements.A1GHZProcessor (x86orx86_64) est ensemble, avec-corecpureComend.r.R AmshouldBeatleast512MBForCommand-lineUseor2gbfordesktopenvironments.
Comment effacer en toute sécurité un disque dur sur Linux
Jul 24, 2025 am 12:08 AM
Confirmez le nom du périphérique du disque dur cible (tel que / dev / sda) pour éviter de supprimer accidentellement le disque système; 2. Utilisez sudoddif = / dev / zeroof = / dev / sdxbs = 1mstatus = progresser pour écraser la valeur zéro dans le disque complet, qui convient à la plupart des scénarios; 3. Utilisez Sudoshred-V-N3 / Dev / SDX pour trois augmentations de données aléatoires pour vous assurer qu'elle ne peut pas être restaurée; 4. Exécuter éventuellement SudObAdBlocks-Wsv / Dev / SDX pour les tests d'écriture destructeurs; Enfin, utilisez SudoHExDump-C / Dev / SDX | Head pour vérifier si tout est zéro et une efface complète en toute sécurité.
Comment ajouter un utilisateur dans Linux
Jul 21, 2025 am 03:32 AM
Ajoutez des commandes userAdd ou AddUser couramment utilisées par les utilisateurs de Linux. 1. Lorsque vous utilisez UserAdd, vous devez définir manuellement le mot de passe et le répertoire domestique. Ajoutez le paramètre -M pour créer le répertoire domestique; 2. Vous pouvez spécifier le shell, le groupe et l'UID via des paramètres tels que -s, -g et -u; 3. AddUser est une commande interactive, adaptée aux novices pour terminer automatiquement la configuration; 4. Faites attention aux autorisations, aux autorisations d'unicité du nom d'utilisateur et aux autorisations du répertoire de la maison; 5. UserDel peut être utilisé pour supprimer les utilisateurs et le répertoire domestique par erreur. La maîtrise de ces points clés vous permet de gérer les utilisateurs efficacement et en toute sécurité.
Comment obtenir de l'aide pour une commande dans Linux?
Jul 17, 2025 am 12:55 AM
Il existe quatre façons d'obtenir une aide de commande dans Linux: premièrement, utilisez --help pour afficher l'utilisation de base, qui convient rapidement à la compréhension des options et des paramètres courants des commandes; Deuxièmement, utilisez l'homme pour afficher la page complète de l'homme, en fournissant des descriptions et des exemples de commandes détaillées; Troisièmement, utilisez des informations pour afficher une aide structurée, qui convient à la navigation d'information de commandes complexes telles que GCC et MADE; Quatrièmement, reportez-vous aux ressources du réseau et aux communautés, telles que Linux China, Stackoverflow et d'autres plateformes pour obtenir des matériaux chinois ou résoudre des problèmes spécifiques. Il est recommandé aux débutants de le maîtriser pas à pas de - Help et Man.
Comment vérifier les informations et la version du système Linux?
Jul 26, 2025 am 02:59 AM
Si vous souhaitez connaître les informations et la version du système Linux, vous pouvez utiliser les étapes suivantes: 1. Utilisez LSB_RELEASE-A pour afficher les informations de distribution; 2. Afficher le fichier / etc / OS-Release pour obtenir les détails de la version; 3. Utilisez uname-R ou uname-MRS pour confirmer la version du noyau et l'architecture système; 4. Exécutez LSCPU, Free-H ou DMIDECODE (nécessite des autorisations racine) pour obtenir des informations matérielles. La méthode ci-dessus est applicable à différentes distributions, et certaines commandes peuvent nécessiter un ajustement d'installation ou d'autorisation.
Différentes façons d'utiliser la commande de colonne dans Linux
Jul 17, 2025 am 09:20 AM
Vous êtes-vous déjà retrouvé à traiter les fichiers CSV et générer de la sortie dans un format de table structuré? Il n'y a pas si longtemps, je faisais face à un fichier désordonné qui n'était pas correctement formaté. Il avait des espaces excessifs entre chaque colonne, et j'avais besoin de
Comment modifier le fichier hosts dans Linux
Jul 21, 2025 am 03:02 AM
Pour modifier le fichier hosts du système Linux, vous devez le modifier avec les autorisations administratrices. 1. Le fichier hosts est situé dans le / etc / répertoire, et Cat / etc / hôtes peuvent être affichés; 2. Utilisez Sudo pour le modifier avec des éditeurs tels que nano / vim / gedit, et le format est l'adresse IP et le nom de l'hôte; 3. Après modification, il peut avoir besoin d'effacer le cache DNS ou de redémarrer le service NetworkManager pour prendre effet; 4. Faites attention au format correct, évitez les modifications fréquentes et commentez les entrées incertaines pour fonctionner en toute sécurité.
LFCA: Compréhension du système d'exploitation Linux - Partie 1
Jul 17, 2025 am 09:14 AM
La Fondation Linux a dévoilé une nouvelle certification informatique pré-professionnelle connue sous le nom de Linux Foundation Certified IT Associate (LFCA). Il s'agit d'une nouvelle certification d'entrée de gamme qui se concentre sur le test des concepts informatiques fondamentaux tels que les systèmes de base admin
