זוהי הפקודה knockd שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
knockd - שרת יציאה-דפיקה
תַקצִיר
דפק [אפשרויות]
תיאור
דפק הוא נקישה בנמל שרת. זה מקשיב לכל התעבורה ב-Ethernet (או PPP)
ממשק, מחפש רצפי "דפיקה" מיוחדים של פגיעות יציאה. לקוח מייצר את היציאות האלה-
תוצאות על ידי שליחת חבילת TCP (או UDP) ליציאה בשרת. יציאה זו לא חייבת להיות פתוחה
-- מכיוון ש-knockd מאזין ברמת שכבת הקישור, הוא רואה את כל התנועה גם אם היא מיועדת
לנמל סגור. כאשר השרת מזהה רצף מסוים של כניסות יציאה, הוא מפעיל א
הפקודה שהוגדרה בקובץ התצורה שלו. זה יכול לשמש כדי לפתוח חורים ב
חומת אש לגישה מהירה.
פקודה אפשרויות
-אני, --מִמְשָׁק
ציין ממשק להאזנה. ברירת המחדל היא eth0.
-ד, --דימון
הפוך לדמון. זה בדרך כלל רצוי עבור פעולה רגילה כמו שרת.
-ג, --config
ציין מיקום חלופי עבור קובץ התצורה. ברירת המחדל היא /etc/knockd.conf.
-ד, --לנפות
פלט הודעות ניפוי באגים.
-ל, --הבט מעלה
חפש שמות DNS עבור ערכי יומן. זה עלול להוות סיכון אבטחה! ראה סעיף אבטחה
אורים.
-ב, --מִלוּלִי
פלט הודעות סטטוס מילוליות.
-V, --גִרְסָה
הצג את הגרסה.
-ח, - עזרה
עזרה בתחביר.
תְצוּרָה
knockd קורא את כל ערכות ה-knock/אירועים מקובץ תצורה. כל דפיקה/אירוע מתחיל עם
סמן כותרת, בצורה [שֵׁם], שם שם הוא שם האירוע שיופיע
ביומן. סמן מיוחד, [אפשרויות], משמש להגדרת אפשרויות גלובליות.
דוגמה # 1:
דוגמה זו משתמשת בשתי נקישות. הראשון יאפשר למקיש לגשת ליציאה 22
(SSH), והשני יסגור את היציאה כשהנקר יושלם. כמה שאתה יכול
תראה, זה יכול להיות שימושי אם אתה מפעיל חומת אש מגבילה מאוד (מדיניות הכחשה) ו
רוצה לגשת אליו בדיסקרטיות.
[אפשרויות]
logfile = /var/log/knockd.log
[openSSH]
רצף = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
פקודה = /sbin/iptables -A קלט -s %IP% -j קבל
[סגור SSH]
רצף = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
פקודה = /sbin/iptables -D קלט -s %IP% -j קבל
דוגמה # 2:
דוגמה זו משתמשת בלחיצה אחת כדי לשלוט בגישה ליציאה 22 (SSH). לאחר
לאחר קבלת נקישה מוצלחת, הדמון יריץ את התחל_פקודה, תחכה ל
הזמן שצוין ב cmd_timeout, ואז בצע את ה פקודה_עצירה. זה שימושי ל
סגור אוטומטית את הדלת מאחורי דופק. רצף הדפיקה משתמש בשני UDP
ויציאות TCP.
[אפשרויות]
logfile = /var/log/knockd.log
[opencloseSSH]
רצף = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j קבל
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j קבל
דוגמה # 3:
דוגמה זו אינה משתמשת ברצף דפיקות יחיד וקבוע כדי להפעיל אירוע, אלא ב-
קבוצת רצפים שנלקחה מקובץ רצף (רצפים חד פעמיים), המצוינת על ידי ה-
חד פעמי_רצפים הוֹרָאָה. לאחר כל נקישה מוצלחת, הרצף בשימוש יהיה
לא תוקף ויש להשתמש ברצף הבא מקובץ הרצף עבור א
דפיקה מוצלחת. זה מונע מהתוקף לבצע התקפה חוזרת לאחר מכן
לאחר שגיליתי רצף (למשל, תוך כדי רחרח הרשת).
[אפשרויות]
logfile = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j קבל
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j קבל
תצורה: גלובלי הוראות
השתמש ב-Syslog
רישום הודעות פעולה באמצעות syslog(). זה יכניס רשומות יומן לתוך שלך
/var/log/messages או שווה ערך.
קובץ לוג = /נתיב/אל/קובץ
רישום פעולות ישירות לקובץ, בדרך כלל /var/log/knockd.log.
PidFile = /נתיב/אל/קובץ
Pidfile לשימוש במצב daemon, ברירת מחדל: /var/run/knockd.pid.
מִמְשָׁק =
ממשק רשת להאזנה. יש לתת רק את שמו, לא את הדרך אל
התקן (למשל, "eth0" ולא "/dev/eth0"). ברירת מחדל: eth0.
תצורה: דפיקה/אירוע הוראות
רצף = [: ][, [: ] ...]
ציין את רצף היציאות בנקישה המיוחדת. אם יציאה שגויה עם אותו הדבר
דגלים מתקבלים, הדפיקה נמחקת. לחלופין, אתה יכול להגדיר את הפרוטוקול
לשימוש על בסיס יציאות (ברירת המחדל היא TCP).
One_Time_Sequences = /path/to/one_time_sequences_file
קובץ המכיל את הרצפים החד-פעמיים שבהם יש להשתמש. במקום להשתמש קבוע
רצף, knockd יקרא את הרצף שישמש מאותו קובץ. אחרי כל אחד
ניסיון לדפוק מוצלח רצף זה יושבת על ידי כתיבת תו '#'
במיקום הראשון של השורה המכילה את הרצף בשימוש. זה השתמש ברצף
לאחר מכן יוחלף ברצף החוקי הבא מהקובץ.
מכיוון שהתו הראשון מוחלף ב-'#', מומלץ לעזוב
רווח בתחילת כל שורה. אחרת הספרה הראשונה בדפיקה שלך
הרצף יוחלף ב-'#' לאחר שנעשה בו שימוש.
כל שורה בקובץ הרצפים החד-פעמיים מכילה בדיוק רצף אחד ויש לה את
אותו פורמט כמו זה של רצף הוֹרָאָה. שורות המתחילות ב-'#'
תתעלם מהדמות.
הערות: אל תערוך את הקובץ בזמן ש-knockd פועל!
Seq_Timeout =
זמן לחכות לסיום הרצף תוך שניות. אם הזמן חולף לפני ה
הדפיקה הושלמה, היא נמחקת.
TCPFlags = fin|syn|rst|psh|ack|urg
שימו לב רק למנות שהדגל הזה מוגדר בהן. בעת שימוש בדגלי TCP,
knockd תתעלם מחבילות tcp שאינן תואמות לדגלים. זה שונה מ
ההתנהגות הרגילה, שבה חבילה לא נכונה תבטל את כל הדפיקה,
מאלץ את הלקוח להתחיל מחדש. שימוש ב-"TCPFlags = syn" שימושי אם כן
בדיקה דרך חיבור SSH, מכיוון שתעבורת SSH בדרך כלל תפריע ל-(ו
ובכך לבטל) את הדפיקה.
הפרד מספר דגלים באמצעות פסיקים (למשל, TCPFlags = syn,ack,urg). דגלים יכולים להיות
לא נכלל במפורש על ידי "!" (למשל, TCPFlags = syn,!ack).
התחל_פקודה =
ציין את הפקודה שתתבצע כאשר לקוח מבצע את נקישת היציאה הנכונה. את כל
מקרים של %IP% יוחלף בכתובת ה-IP של הדופק. ה פיקוד
ההנחיה היא כינוי עבור התחל_פקודה.
Cmd_Timeout =
זמן לחכות בין לבין התחל_פקודה ו עצור_פקודה בשניות. הנחיה זו היא
אופציונלי, נדרש רק אם עצור_פקודה משמש.
עצור_פקודה =
ציין את הפקודה שתתבצע מתי Cmd_Timeout שניות חלפו מאז
התחל_פקודה הוצא להורג. כל המקרים של %IP% יוחלף ב-
כתובת ה-IP של נוקר. הנחיה זו היא אופציונלית.
אבטחה אורים
משתמש ב -l or --הבט מעלה אפשרות שורת הפקודה לפתרון שמות DNS עבור ערכי יומן עשויה להיות א
סיכון ביטחוני! תוקף עשוי לגלות את היציאה הראשונה של רצף אם הוא יכול לנטר
תעבורת ה-DNS של המארח פועל knockd. גם מארח אמור להיות התגנבות (למשל,
הפלת מנות ליציאות TCP סגורות במקום להשיב עם חבילת ACK+RST) עשויה לתת
על ידי פתרון שם DNS אם תוקף מצליח לפגוע ביציאה הראשונה (לא ידועה).
של רצף.
השתמש ב-knockd באינטרנט באמצעות שירותי onworks.net
