-, havne - banker er en autentificering system, der tillader en server for at holde havne lukkede af misligholdelse og åbne dem kun, når klienter sende et forudbestemt rækkefølge i forbindelse anmodninger rettet mod bestemte tcp eller udp - havne.som følge heraf kan man f.eks. beholde ssh både usynlig og utilgængelige for forbipasserende, men stadig give klienterne mulighed for bevæbnet med det hemmelige bank til at forbinde.oprettelse af havnen, der banker på din linux - systemet er let, men sørg for at afsætte tid til at gøre dig bekendt med sikkerhed og praktiske risici.,, server side fælde, den mest populære havn på pakke om linux - systemet er knockd.det virker i samarbejde med linux ', s iptables firewall, løber som en dæmon, der lytter til et netværk grænseflade for en præ - konfigureret sekvens af forbindelse anmodninger.når en tilsvarende sekvens er påvist, knockd udfører en ordre fra dens konfiguration fil &forbundet mdash; canonically, en iptables kommando, der åbner og lukker en bestemt havn, hvor en tjenesteydelse er allerede., i de fælles eksempel konfiguration, openssh (eller en anden lige så securable service) løber på en standard havn (såsom tcp port 22), men iptables er konfigureret til at blokere for adgangen til det ved at droppe pakker.knockd lytter på eth0 til tcp syn pakkerne sendes til en særlig sekvens af havne (f.eks. havne - 9000, havn 6501, havn. 1234, så havn 4321).når en tilsvarende bank er påvist, knockd udfører en iptables kommando, der fortæller en firewall begynde med at acceptere pakker på tcp port 22, og kunden kan begynde en ssh møde som normale.,, du kan downloade knockd fra projektet ' s hjemmeside; kildekode samt debian, omdrejninger pr. minut, og slackware det er givet.knockd er almindeligvis uddelt af store linux udlodninger, så tjek din pakke, chef.når installeret, du få knockd ' s opførsel i filen, /etc /knockd. conf,.,,, på toppen af, knockd.conf, er en global [muligheder] strofe.her kan du få omfattende direktiver, den mest almindelige, som ville være at præcisere netværksinterface på multi - grænseflader systemer.for eksempel, tilføje en linje, der indeholder interface = eth1, til at forpligte knockd til eth1 i stedet for misligholdelse eth0.,, under hver knockd " begivenhed " modtager sine egne strofe, begyndende med en margen, der afgrænses af navn.den manglende fil indeholder to:,, [openssh] sekvens = 700080009000 seq_timeout = 5 kommando = /sbin /iptables - en input - s% up% - p tcp - dport 22 - j acceptere tcpflags = syn [closessh] sekvens = 900080007000 seq_timeout = 5 kommando = /sbin /iptables - d input - 8%. ip - p tcp - dport 22 - j acceptere tcpflags = syn, i hvert enkelt tilfælde sekvensen direktiv lister for tcp havne i det hemmelige bank.tal, som i sig selv er ensbetydende med tcp havne, men du kan angive tcp eller udp - havne af tilføjer: tcp eller: udp.en kombineret bank kan angive både, f.eks. sekvens = 3333: tcp, 9999: spdu, 1010: spdu, 8675: tcp,.,, seq_timeout fastsætter en frist for hold til — start til slut — for at være godkendt, og kommando direktiv indeholder kommando, der er udløst af den bank.for eksempel, du ser, at åbne og lukke port 22 kræver to forskellige banker.en alternativ konfiguration, kan du køre en start_command, når banker er hørt, så vent en bestemt mængde tid, så løb en stop_command.dette vil åbne havn, 22 for præcis et minut, så tæt på det igen:,, start_command = /bar /sbin /iptables - en input - s% up% - p tcp - syn... dport 22 - j acceptere cmd_timeout = 60 stop_command = /bar /sbin /iptables - d input - s% up% - p tcp - syn... dport 22 - j, acceptere, tcpflags direktiv siger knockd kun at lytte til pakker, som svarer til den, der er specificeret tcp flag (i dette eksempel kun syn).du kan tilføje flere flag, såsom syn, urg, fin, eller endog ophæve flag med udråbstegn karakter, såsom!back.fordelen ved hjælp af tcp flag, som led i den bank, er, at under normale omstændigheder, knockd ignorerer misdannede pakker (som sandsynligvis er det, hvad du vil have.), kan du starte knockd manuelt ved at løbe, /etc /init.d/knockd starter, eller få det til at løbe på lokalitet tid ved redigering af /etc /default /knockd og om fastsættelse start_knockd = 1., naturligvis under ingen omstændigheder skal du indsætte knockd ved, misligholdelse, banker 700080009000.på samme måde for alle havne banker udgør et lag af sikkerhed, når de underliggende tjeneste i inaktive, du må sørge for, at deres ssh - serveren er sikker i sin egen ret og mdash; kun bruge ssh version 2, anvende dsa public key - autentificering, og så videre.,, klient fælde, du kan teste deres grundlæggende havn at fælde fra en anden maskine med en simpel telnet klient.med serveren, løb, løb, telnet 192.168.1.100 3333, at sende en forbindelse anmodning til 192.168.1.100 på tcp port 3333, efterfulgt af en på hver af de andre havne i din hemmelige sinal.,, om regelmæssig brug, men du vil have en havn på klient.knockd kommer med en command-line klient ved navn bank, der anvender samme syntaks, der knockd.conf, så hold 192.168.1.100 3333: tcp 9999: udp - 1010: udp - 8675: tcp, vil udstede banke beskrevet nogle afsnit ovenfor.med hold ind, indlede en forbindelse, som de normalt ville være, hvis din hemmelige sinal., afhænger af tcp flag, men du bliver nødt til at se på et mere avanceret værktøj, f.eks. sendip eller packit, der kan sende vilkårligt udformet pakker.,, hvis du bruger havn og banke på en hverdag, - kan være interesseret i at finde en klient til deres mobile enheder, ud over at ægte linux - systemer.der er mindst to knockd forenelig kunder skriftligt til iphone platform: havn - light og knockond, og en androide: bank - androiden.der synes ikke at være en aktiv klient for maemo eller meego på nuværende tidspunkt, selv om disse platforme lighed for desktopcomputere og server linux, bør betyde, at standard bank vil udarbejde uden alt for mange yderligere problemer.der er også en php klient, der er knockd forenelig.,, praktiske gennemførelse angår, en af de grunde, du ikke ser mange særlige havn på kunder, der opbevares og minde om den hemmelige banker for dem, er, at det ville være som at oplagre login kodeord — det hemmelige bank skal være noget, som du kan huske og kender udenad, for at være effektive. naturligvis en havn, banker og' de vigtigste kritik er, at en hacker - netværket forbindelse kunne finde dit hemmelige sinal og gentager det senere.selvfølgelig, hyppigere brug den bank, jo større risiko.en løsning er at sende falske banker sammen med de reelle bank, men det viser vigtigheden af at sikre ssh eller andre tjenesteydelser i tilknytning til at skjule det.hvis din hemmelige bank er i fare, og jeg er i det mindste en enkel.,, en bedre beskyttelse mod dette angreb er at kombinere havn banker med en gang passwords, skabe en gang banker.knockd støtter dette igennem, one_time_sequences, direktiv, knockd. conf.i stedet for udtrykkeligt beskriver en bank, one_time_sequences, anvendes til at angive en fil sted, som er lagret en liste over - sekvenser, én pr. linje.hver gang en klient, der forbinder med en bank, knockd bemærkninger, at banke fra databasen, og lytter til den næste, du skal også være klar over, at havnen banker har sine ulemper.for det første, hvis knockd dør, er du låst ude af fjernadgang til skjult service (medmindre, selvfølgelig, du kan knække firewall senere).lige så vigtigt er det, at eftersom ip - pakker kan blive omdirigeret i uforudsigelige måder, medmindre du er tæt på serveren maskine på nettet. der er altid en chance for, at din bank pakker vil komme ud af sekvens; derfor er det en god idé at sende dem for hurtigt, og at fastsætte en rimelig værdi for, seq_timeout,.,, i fuld respekt for havn, banker, er det også vigtigt at forstå, at der på ingen måde er begrænset til at knockd firewallreglerne som en begivenhed, svar.du kan bruge et hemmeligt bank til, der udløser nogen form for hændelse, fra en rsync backup hele vejen til et manuskript, der sletter dit hjem fortegnelse og sender en opsigelse e - mail til din chef, uden at en enkelt havn til verden udenfor.,, ekstra kredit: mere avancerede servere, der er andre havn banker (og begrebsmæssigt relateret) servere, der er til rådighed, og knockd.et par tjek hellere omfatter sig2knock, som bygger på den idé fra ikke - faste hold sekvenser og tilføjer havn randomisering transitnøgle, som strammer den havn, banker idé at arbejde udelukkende med linux iptables, og omvendt fjerne skallen (reservekrav), som er en ssl sikret shell, som bygger på havn banker som fjerntliggende adgang metode.hvis du ikke ' t vil brugerne at vilkårlige ordrer på en server i administreres, kan du finde transitnøgle eller reservekrav passe bedre end knockd.på den anden side, hvis sikkerhed er din største bekymring, sig2knock giver et overbevisende forbedringer. adskillige projekter, forsøg på at overvinde de replay angreb problem ved at forske mere i standard kryptografiske nøgle baseret godkendelse.som eksempler kan nævnes cryptknock, cok, tariq.ulempen ved disse systemer er, at de ikke udelukkende er afhængige af deres evne til at lære det hemmelige bank for at skaffe dig adgang.de mere avancerede systemer kan indføre andre retmæssige sikkerhed faktorer, såsom sortlister og whitelists at begrænse som ip - adresser kan forbinde.flere projekter i forbindelse med havne, der er opført på portknocking.org websted sammen med undersøgelser og andre midler til yderligere undersøgelse.,,, når alvorlige sikkerheds - fagfolk vil fortælle dig, at en havn på kun tilføjer et relativt tyndt lag af sikkerhed til et system, der er korrekt.du har stadig brug for at have en stærk adgangskontrol og multi - element autentificering for at sikre din maskine for fjernadgang.men havn banker gør tjeneste usynlig for tilskuere, som er et værdifuldt aktiv i mange edb - miljøer, og hvis du tager mig til at skifte bank, kan det forhindre vold og quot; ordbog " angreb mod din ssh - brugere.når alt kommer til alt, man kan aldrig være for sikker, kan du?,