Secure  Shell是登录到远程Linux服务器的一种事实上的标准。多年来，它为许多管理员提供了良好的服务。但仅仅因为名称中有“Secure”(安全)这个词，并不意味着它总是很安全。事实上，您总是可以采取一些措施使SSH更安全。

其中一个方法就是借助端口碰撞(port knocking)。现在，在我们开始之前，我想明确指出，任何使用SSH的人都应该始终做两件事：

应该将以上两项都视为使用Secure  Shell的标准优秀实践。话虽如此，我还是想向您介绍一种已存在一段时间的工具。其想法是在您的服务器上创建两个碰撞序列，一个打开SSH端口，一个关闭该端口。在您发送打开碰撞序列之前，SSH访问是被关闭的。发送打开序列后，您可以通过SSH连接到该机器。完成工作后，发送关闭序列，SSH将重新被锁起来。

这并不完美，但结合SSH密钥验证，SSH在您的服务器上会安全得多。

下面介绍如何安装和使用knockd以便在SSH上进行端口碰撞。

我将在Ubuntu Server 20.04  上进行演示，因此您需要该操作系统的运行中实例和拥有sudo权限的用户。您还需要在客户机上拥有sudo权限的用户。至于客户端，我将在Pop!_OS上进行演示。

我们要做的第一件事是在服务器和客户端上安装knockd。登录到服务器，并执行命令：

前往客户端，执行同样的命令。

安装完后，您需要注意几个配置。

我们需要做的第一件事是配置knockd 服务。使用以下命令打开knockd配置文件：

在该文件中，将打开序列从默认的7000,8000,9000改成您想要使用的任何端口序列。您最多可以为此配置七个端口。要配置的行在[openSSH]下：

将端口号改成您能记住的序列。

接下来，以相同的方式更改关闭序列(使用不同的端口号)。这一行在[closeSSH]下：

接下来，您需要在[openSSH]命令行中将-A改成-I，以便它将是iptables链中的第一条规则。

保存并关闭文件。

接下来，我们需要找到用于SSH流量的网络接口的名称。执行命令：

找到您使用的IP地址，然后找到如下所示的序列：

以本文为例，接口的名称是ens5。

使用以下命令打开 Knockd 守护程序文件：

在该文件中，通过将下面行中的0改成1，使守护程序能够在引导时运行：

接下来，将下面这行中的eth0 改成您网络接口的名称(并删除那个前导#字符)：

所以这一行看起来像这样：

保存并关闭文件。

使用以下命令运行并启用knockd：

接下来，我们需要关闭端口22，这样流量无法绕过knockd 系统。执行命令：

如果您有允许SSH流量的规则，它们将被编号并需要被删除。比如说，您的SSH规则是1和2，用以下命令删除它们：

进入到您的客户机。我们先要做的是发送打开碰撞序列，以便允许SSH流量通过。如果您的碰撞序列是7001,8001,9001，您将执行以下命令：

其中Server是远程服务器的IP地址。

您应该会看到如下输出：

碰撞序列后，您应该随后可以通过SSH连接到该服务器。完成远程工作后，您退出该服务器，然后发送关闭碰撞序列，就像这样：

关闭碰撞序列后，您应该再也无法通过SSH访问该远程服务器(除非您再次发送打开碰撞序列)。

这就是使用knockd以便在远程Linux服务器上更有效地为SSH访问确保安全的方法。记得将knockd安装在需要通过SSH访问那些服务器的任何客户机上。

原文标题：How to secure SSH logins with port knocking，作者：Jack Wallen

【51CTO译稿，合作站点转载请注明原文译者和出处】

【编辑推荐】

来源：51CTO布加迪