使用ping钥匙临时开启SSH:22端口,实现远程安全SSH登录管理就这么简单
设置防火墙策略时,关于SSH:22访问权限,我们常常会设置服务器只接受某个固定IP(如公司IP)访问,但是当我们出差或在家情况需要登录服务器怎么办呢?
常用两种解决方案:1.通过VPN操作登录主机; 2.使用ping钥匙临时开启远程主机SSH:22端口;
我们今天就讨论第2种方案,阐述如何通过ping钥匙来临时打开SSH:22的访问权限
原理: recent 模块可以记录最近访问者IP,常利用此功能做DROP策略应对syn-flood及ddos攻击。但在本例中我们反其道,利用recent模块做ACCEPT策略,就是创建一个sshKeyList列表,当此列表内的IP地址达到命中次数后,让服务器放行此IP地址对SSH:22端口的访问,我们要做的就是想办法将我们当前客户端这个动态IP记录进去,怎么记录进去呢?利用ping命令就可以,ping命令可以把源IP带给远程服务器啊!ping命令就好比一把临时打开远程服务器SSH:22的钥匙。
方案: 是钥匙就得有钥匙齿,要有一定的安全级别,不能让人那么容易猜出规律,怎么造钥匙齿呢?length模块可以匹配报文总长度,所以第1个钥匙齿就是ping包大小必须是我们自定义的,第2个齿就是ping的次数也是我们自定义的,第3个齿就是要在指定的时间内登录SSH:22。
小结一下,服务器只有在“指定时间内收到固定大小的ping包+ping次数”才临时为此源IP放行SSH:22端口访问权。
实施: 任一客户端向服务器发送Data大小为1050字节的ping包,发5次,服务器就自动为此客户端开启SSH:22端口访问权限(30秒内有效)
注意:ICMP报文结构: IP头部(20Bytes) + ICMP头部(8Bytes) + 数据部分Data
计算:若按此方案服务器端实际接收的ICMP数据包总大小为 20+8+1050=1078Bytes
规则: 共5条规则
# 规则1 只接受Data为1078字节的ping包,并将源IP记录到自定义名为sshKeyList的列表中 # iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 1078 -m recent --name sshKeyList --set -j ACCEPT # 规则2 若30秒内发送次数达到6次(及更高),当发起SSH:22新连接请求时拒绝 # iptables -A INPUT -p tcp -m tcp --dport 22 --syn -m recent --name sshKeyList --rcheck --seconds 30 --hitcount 6 -j DROP # 规则3 若30秒内发送次数达到5次,当发起SSH:22新连接请求时放行 # iptables -A INPUT -p tcp -m tcp --dport 22 --syn -m recent --name sshKeyList --rcheck --seconds 30 --hitcount 5 -j ACCEPT # 规则4 对于已建立的连接放行 # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT # 规则5 老规矩:最后的拒绝 # iptables -A INPUT -j DROP
测试效果
Windows下默认ping次数为4次,默认ping包大小为32字节
C:\Users\Administrator>ping 192.168.137.66 -l 1050 -n 5 正在 Ping 192.168.137.66 具有 1050 字节的数据: 来自 192.168.137.66 的回复: 字节=1050 时间<1ms TTL=64 来自 192.168.137.66 的回复: 字节=1050 时间<1ms TTL=64 来自 192.168.137.66 的回复: 字节=1050 时间<1ms TTL=64 来自 192.168.137.66 的回复: 字节=1050 时间<1ms TTL=64 来自 192.168.137.66 的回复: 字节=1050 时间<1ms TTL=64
Linux下默认ping次数为无限次,默认ping包大小为56字节
[root@martin ~]# ping 192.168.137.66 -s 1050 -c 5 PING 192.168.137.66 (192.168.137.66) 1050(1078) bytes of data. 1058 bytes from 192.168.137.66: icmp_seq=1 ttl=64 time=0.711 ms 1058 bytes from 192.168.137.66: icmp_seq=2 ttl=64 time=1.00 ms 1058 bytes from 192.168.137.66: icmp_seq=3 ttl=64 time=0.629 ms 1058 bytes from 192.168.137.66: icmp_seq=4 ttl=64 time=1.32 ms 1058 bytes from 192.168.137.66: icmp_seq=5 ttl=64 time=1.02 ms
然后呢,就可以登录SSH了(30秒内有效,动作快点),由于有"--state ESTABLISHED -j
ACCEPT"护驾,所以也不用担心被踢,OK,实现远程安全SSH登录管理就这么简单。