Ini ialah arahan yang diketuk yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
knockd - pelayan port-knock
SINOPSIS
diketuk [pilihan]
DESCRIPTION
diketuk ialah port-ketuk pelayan. Ia mendengar semua trafik pada ethernet (atau PPP)
antara muka, mencari jujukan "ketukan" khas port-hits. Pelanggan membuat port ini-
hits dengan menghantar paket TCP (atau UDP) ke port pada pelayan. Pelabuhan ini tidak perlu dibuka
-- memandangkan knockd mendengar pada peringkat lapisan pautan, ia melihat semua trafik walaupun ia ditakdirkan
untuk pelabuhan tertutup. Apabila pelayan mengesan urutan tertentu port-hits, ia menjalankan a
arahan yang ditakrifkan dalam fail konfigurasinya. Ini boleh digunakan untuk membuka lubang dalam a
firewall untuk akses pantas.
TALIAN PERINTAH PILIHAN
-saya, --antara muka
Tentukan antara muka untuk mendengar. Lalainya ialah eth0.
-d, --daemon
Menjadi daemon. Ini biasanya dikehendaki untuk operasi seperti pelayan biasa.
-c, --config
Tentukan lokasi alternatif untuk fail konfigurasi. Lalai ialah /etc/knockd.conf.
-D, --nyahpepijat
Mesej penyahpepijatan ouput.
-l, --cari
Cari nama DNS untuk entri log. Ini mungkin risiko keselamatan! Lihat bahagian KESELAMATAN
NOTA.
-v, --verbose
Keluarkan mesej status bertele-tele.
-V, --versi
Paparkan versi.
-h, - membantu
Bantuan sintaks.
CONFIGURATION
knockd membaca semua set knock/event daripada fail konfigurasi. Setiap ketukan/acara bermula dengan
penanda tajuk, dalam bentuk [nama], Di mana nama ialah nama acara yang akan muncul
dalam log. Penanda khas, [pilihan], digunakan untuk menentukan pilihan global.
Contoh # 1:
Contoh ini menggunakan dua ketukan. Yang pertama akan membenarkan pengetuk mengakses port 22
(SSH), dan yang kedua akan menutup port apabila pengetuk selesai. Seperti yang anda boleh
lihat, ini boleh berguna jika anda menjalankan tembok api (dasar MENAFIKAN) yang sangat ketat dan
ingin mengaksesnya secara diam-diam.
[pilihan]
logfile = /var/log/knockd.log
[openSSH]
jujukan = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
perintah = /sbin/iptables -A INPUT -s %IP% -j TERIMA
[closeSSH]
jujukan = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
perintah = /sbin/iptables -D INPUT -s %IP% -j TERIMA
Contoh # 2:
Contoh ini menggunakan satu ketukan untuk mengawal akses kepada port 22 (SSH). Selepas
menerima ketukan yang berjaya, daemon akan menjalankan start_command, tunggu untuk
masa yang dinyatakan dalam cmd_timeout, kemudian laksanakan stop_command. Ini berguna untuk
secara automatik menutup pintu di belakang pengetuk. Urutan ketukan menggunakan kedua-dua UDP
dan port TCP.
[pilihan]
logfile = /var/log/knockd.log
[opencloseSSH]
jujukan = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j TERIMA
cmd_masa tamat = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j TERIMA
Contoh # 3:
Contoh ini tidak menggunakan satu urutan ketukan tetap untuk mencetuskan acara, tetapi a
set jujukan yang diambil daripada fail jujukan (urutan satu kali), ditentukan oleh
one_time_sequences arahan. Selepas setiap ketukan yang berjaya, urutan yang digunakan akan
menjadi tidak sah dan urutan seterusnya daripada fail jujukan perlu digunakan untuk a
ketukan berjaya. Ini menghalang penyerang daripada melakukan serangan ulangan selepas itu
setelah menemui urutan (cth, semasa menghidu rangkaian).
[pilihan]
logfile = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = sirip,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j TERIMA
cmd_masa tamat = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j TERIMA
CONFIGURATION: GLOBAL ARAHAN
UseSyslog
Log mesej tindakan melalui syslog(). Ini akan memasukkan entri log ke dalam anda
/var/log/message atau yang setara.
Fail log = /path/to/file
Log tindakan terus ke fail, biasanya /var/log/knockd.log.
PidFile = /path/to/file
Pidfile untuk digunakan semasa dalam mod daemon, lalai: /var/run/knockd.pid.
Antara muka =
Antara muka rangkaian untuk didengari. Hanya namanya sahaja yang perlu diberikan, bukan jalan ke
peranti (cth, "eth0" dan bukan "/dev/eth0"). Lalai: eth0.
CONFIGURATION: KNOCK/ACARA ARAHAN
Urutan = [: ][, [: ] ...]
Tentukan urutan port dalam ketukan khas. Jika port yang salah dengan yang sama
bendera diterima, ketukan dibuang. Secara pilihan, anda boleh menentukan protokol
untuk digunakan secara per-port (lalai ialah TCP).
Urutan_Satu_Masa = /path/to/one_time_sequences_file
Fail yang mengandungi jujukan satu masa yang akan digunakan. Daripada menggunakan tetap
urutan, knockd akan membaca urutan yang akan digunakan daripada fail itu. Selepas setiap
percubaan ketuk yang berjaya urutan ini akan dilumpuhkan dengan menulis aksara '#'
pada kedudukan pertama baris yang mengandungi urutan yang digunakan. Urutan yang digunakan itu
kemudian akan digantikan dengan urutan sah seterusnya daripada fail.
Oleh kerana aksara pertama digantikan dengan '#', anda disyorkan untuk meninggalkannya
ruang pada permulaan setiap baris. Jika tidak, angka pertama dalam ketukan anda
jujukan akan ditimpa dengan '#' selepas ia digunakan.
Setiap baris dalam fail jujukan satu masa mengandungi tepat satu jujukan dan mempunyai
format yang sama seperti yang untuk Urutan arahan. Baris bermula dengan '#'
watak akan diabaikan.
Nota: Jangan edit fail semasa knockd sedang berjalan!
Seq_Timeout =
Masa untuk menunggu urutan selesai dalam beberapa saat. Jika masa berlalu sebelum
ketukan selesai, ia dibuang.
TCPFlags = fin|syn|rst|psh|ack|urg
Hanya beri perhatian kepada paket yang mempunyai set bendera ini. Apabila menggunakan bendera TCP,
knockd akan ABAIKAN paket tcp yang tidak sepadan dengan bendera. Ini berbeza daripada
tingkah laku biasa, di mana paket yang salah akan membatalkan keseluruhan ketukan,
memaksa pelanggan untuk memulakan semula. Menggunakan "TCPFlags = syn" berguna jika anda menggunakannya
menguji melalui sambungan SSH, kerana trafik SSH biasanya akan mengganggu (dan
dengan itu membatalkan) ketukan itu.
Pisahkan berbilang bendera dengan koma (cth, TCPFlags = syn,ack,urg). Bendera boleh
dikecualikan secara eksplisit oleh "!" (cth, TCPFlags = syn,!ack).
Start_Command =
Tentukan arahan yang akan dilaksanakan apabila klien membuat port-knock yang betul. Semua
kejadian dari %IP% akan digantikan dengan alamat IP pengetuk. The Perintah
arahan ialah alias untuk Start_Command.
Cmd_Timeout =
Masa untuk menunggu antara Start_Command and Stop_Command dalam beberapa saat. Arahan ini ialah
pilihan, hanya diperlukan jika Stop_Command digunakan.
Stop_Command =
Nyatakan arahan yang akan dilaksanakan apabila Cmd_Timeout beberapa saat telah berlalu sejak itu
Start_Command telah dilaksanakan. Semua contoh %IP% akan digantikan dengan
alamat IP pengetuk. Arahan ini adalah pilihan.
KESELAMATAN NOTA
Menggunakan -l or --cari pilihan baris arahan untuk menyelesaikan nama DNS untuk entri log mungkin a
risiko keselamatan! Penyerang mungkin mengetahui port pertama urutan jika dia boleh memantau
trafik DNS hos yang berjalan mengetuk. Juga hos yang sepatutnya bersifat senyap (cth,
menjatuhkan paket ke port TCP tertutup dan bukannya membalas dengan paket ACK+RST) mungkin memberi
sendiri dengan menyelesaikan nama DNS jika penyerang berjaya memukul port pertama (tidak diketahui).
daripada suatu urutan.
Gunakan knockd dalam talian menggunakan perkhidmatan onworks.net
