knockd - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

knockd - máy chủ port-knock

SYNOPSIS

tiếng gõ [tùy chọn]

MÔ TẢ

tiếng gõ là một gõ cổng người phục vụ. Nó lắng nghe tất cả lưu lượng truy cập trên ethernet (hoặc PPP)
giao diện, tìm kiếm chuỗi "gõ" đặc biệt của các lần truy cập cổng. Một khách hàng tạo ra các cổng này-
truy cập bằng cách gửi gói TCP (hoặc UDP) đến một cổng trên máy chủ. Cổng này không cần phải mở
- vì knockd lắng nghe ở cấp độ lớp liên kết, nó xem tất cả lưu lượng truy cập ngay cả khi nó được định sẵn
cho một cổng đã đóng. Khi máy chủ phát hiện một chuỗi lần truy cập cổng cụ thể, nó sẽ chạy
lệnh được xác định trong tệp cấu hình của nó. Điều này có thể được sử dụng để mở các lỗ trong
tường lửa để truy cập nhanh.

DÒNG LỆNH LỰA CHỌN

-tôi, --giao diện
Chỉ định một giao diện để nghe. Mặc định là eth0.

-NS, --daemon
Trở thành daemon. Điều này thường được mong muốn đối với hoạt động giống như máy chủ bình thường.

-NS, --config
Chỉ định vị trí thay thế cho tệp cấu hình. Mặc định là /etc/knockd.conf.

-NS, --gỡ lỗi
Ouput gỡ lỗi tin nhắn.

-l, --tra cứu
Tra cứu tên DNS cho các mục nhập nhật ký. Đây có thể là một rủi ro bảo mật! Xem phần AN NINH
GHI CHÚ.

-v, --dài dòng
Xuất thông báo trạng thái dài dòng.

-V, --phiên bản
Hiển thị phiên bản.

-NS, --Cứu giúp
Trợ giúp về cú pháp.

CẤU HÌNH

knockd đọc tất cả các tập hợp knock / event từ một tệp cấu hình. Mỗi lần gõ / sự kiện bắt đầu bằng
một điểm đánh dấu tiêu đề, trong biểu mẫu [Tên], Nơi tên là tên của sự kiện sẽ xuất hiện
trong nhật ký. Một điểm đánh dấu đặc biệt, [tùy chọn], được sử dụng để xác định các tùy chọn toàn cục.

Ví dụ # 1:
Ví dụ này sử dụng hai cách gõ. Đầu tiên sẽ cho phép người gõ cửa truy cập vào cổng 22
(SSH), và nút thứ hai sẽ đóng cổng khi bộ gõ hoàn tất. Như bạn có thể
thấy không, điều này có thể hữu ích nếu bạn chạy tường lửa rất hạn chế (chính sách DENY) và
muốn truy cập nó một cách kín đáo.

[tùy chọn]
logfile = /var/log/knockd.log

[mởSSH]
dãy = 7000,8000,9000
seq_timeout = 10
tcpflags = đồng bộ
lệnh = / sbin / iptables -A INPUT -s% IP% -j CHẤP NHẬN

[đóngSSH]
dãy = 9000,8000,7000
seq_timeout = 10
tcpflags = đồng bộ
lệnh = / sbin / iptables -D INPUT -s% IP% -j CHẤP NHẬN

Ví dụ # 2:
Ví dụ này sử dụng một lần gõ để kiểm soát quyền truy cập vào cổng 22 (SSH). Sau
nhận được một cú gõ thành công, daemon sẽ chạy bắt đầu_lệnh, chờ
thời gian được chỉ định trong cmd_timeout, sau đó thực hiện dừng_lệnh. Điều này rất hữu ích cho
tự động đóng cửa sau một người gõ cửa. Trình tự gõ sử dụng cả UDP
và các cổng TCP.

[tùy chọn]
logfile = /var/log/knockd.log

[opencloseSSH]
trình tự = 2222: udp, 3333: tcp, 4444: udp
seq_timeout = 15
tcpflags = syn, ack
start_command = / usr / sbin / iptables -A INPUT -s% IP% -p tcp --syn -j CHẤP NHẬN
cmd_timeout = 5
stop_command = / usr / sbin / iptables -D INPUT -s% IP% -p tcp --syn -j CHẤP NHẬN

Ví dụ # 3:
Ví dụ này không sử dụng một chuỗi gõ cố định duy nhất để kích hoạt một sự kiện, nhưng một
tập hợp các trình tự được lấy từ một tệp trình tự (trình tự một lần), được chỉ định bởi
one_time_sequences chỉ thị. Sau mỗi lần gõ thành công, trình tự đã sử dụng sẽ
bị vô hiệu và trình tự tiếp theo từ tệp trình tự phải được sử dụng cho
gõ thành công. Điều này ngăn kẻ tấn công thực hiện một cuộc tấn công phát lại sau khi
đã phát hiện ra một chuỗi (ví dụ: trong khi đánh hơi mạng).

[tùy chọn]
logfile = /var/log/knockd.log

[opencloseSMTP]
one_time_sequences = / etc / knockd / smtp_sequences
seq_timeout = 15
tcpflags = fin,! ack
start_command = / usr / sbin / iptables -A INPUT -s% IP% -p tcp --dport 25 -j CHẤP NHẬN
cmd_timeout = 5
stop_command = / usr / sbin / iptables -D INPUT -s% IP% -p tcp --dport 25 -j CHẤP NHẬN

Cấu hình: GLOBAL HƯỚNG DẪN

sử dụng nhật ký hệ thống
Ghi nhật ký thông báo hành động thông qua syslog (). Thao tác này sẽ chèn các mục nhật ký vào
/ var / log / messages hoặc tương đương.

Nhật ký tập tin = / path / to / file
Ghi các hành động trực tiếp vào một tệp, thường là /var/log/knockd.log.

Tệp Pid = / path / to / file
Pidfile để sử dụng khi ở chế độ daemon, mặc định: /var/run/knockd.pid.

Giao thức =
Giao diện mạng để nghe trên. Chỉ tên của nó phải được đưa ra, không phải là đường dẫn đến
thiết bị (ví dụ: "eth0" chứ không phải "/ dev / eth0"). Mặc định: eth0.

Cấu hình: KNOCK / SỰ KIỆN HƯỚNG DẪN

Trình tự = [: ] [, [: ] ...]
Chỉ định trình tự của các cổng trong tiếng gõ đặc biệt. Nếu một cổng sai với cùng một
cờ được nhận, tiếng gõ bị loại bỏ. Theo tùy chọn, bạn có thể xác định giao thức
được sử dụng trên cơ sở mỗi cổng (mặc định là TCP).

Chuỗi một lần = / path / to / one_time_sequences_file
Tệp chứa các trình tự một lần sẽ được sử dụng. Thay vì sử dụng một
trình tự, knockd sẽ đọc trình tự được sử dụng từ tệp đó. Sau mỗi cái
nỗ lực gõ thành công chuỗi này sẽ bị vô hiệu hóa bằng cách viết ký tự '#'
tại vị trí đầu tiên của dòng chứa trình tự đã sử dụng. Trình tự đã sử dụng đó
sau đó sẽ được thay thế bằng chuỗi hợp lệ tiếp theo từ tệp.

Vì ký tự đầu tiên được thay thế bằng '#', bạn nên bỏ
một khoảng trắng ở đầu mỗi dòng. Nếu không, chữ số đầu tiên trong tiếng gõ của bạn
trình tự sẽ được ghi đè bằng '#' sau khi nó đã được sử dụng.

Mỗi dòng trong tệp trình tự một lần chứa chính xác một trình tự và có
định dạng tương tự như định dạng cho Trình tự chỉ thị. Các dòng bắt đầu bằng dấu '#'
ký tự sẽ bị bỏ qua.

Chú thích: Không chỉnh sửa tệp khi knockd đang chạy!

Seq_Timeout =
Thời gian chờ trình tự hoàn thành chỉ trong vài giây. Nếu thời gian trôi qua trước
gõ xong, nó bị loại bỏ.

Cờ TCP = fin | syn | rst | psh | ack | khẩn cấp
Chỉ chú ý đến các gói có cờ này được đặt. Khi sử dụng cờ TCP,
knockd sẽ BỎ QUA các gói tcp không khớp với cờ. Điều này khác với
hành vi bình thường, trong đó một gói không chính xác sẽ làm mất hiệu lực của toàn bộ tiếng gõ,
buộc khách hàng phải bắt đầu lại. Sử dụng "TCPFlags = syn" rất hữu ích nếu bạn
kiểm tra qua kết nối SSH, vì lưu lượng SSH thường sẽ gây trở ngại (và
do đó làm mất hiệu lực) tiếng gõ.

Phân tách nhiều cờ bằng dấu phẩy (ví dụ: TCPFlags = syn, ack, khẩn cấp). Cờ có thể là
bị loại trừ rõ ràng bởi dấu "!" (ví dụ: TCPFlags = syn,! ack).

Bắt đầu_Lệnh =
Chỉ định lệnh sẽ được thực thi khi một máy khách thực hiện gõ cổng chính xác. Tất cả các
Trường hợp của % IP% sẽ được thay thế bằng địa chỉ IP của người gõ. Các Lệnh
chỉ thị là một bí danh cho Bắt đầu_Lệnh.

Cmd_Hết thời gian chờ =
Thời gian để chờ đợi giữa Bắt đầu_Lệnh và Dừng_Lệnh trong vài giây. Chỉ thị này là
tùy chọn, chỉ bắt buộc nếu Dừng_Lệnh Được sử dụng.

Dừng_Lệnh =
Chỉ định lệnh sẽ được thực thi khi Cmd_Hết thời gian chờ giây đã trôi qua kể từ
Bắt đầu_Lệnh đã được thực hiện. Tất cả các trường hợp của % IP% sẽ được thay thế bằng
địa chỉ IP của người gõ. Chỉ thị này là tùy chọn.

AN NINH GHI CHÚ

Sử dụng -l or --tra cứu tùy chọn dòng lệnh để phân giải tên DNS cho các mục nhập nhật ký có thể là một
rủi ro bảo mật! Kẻ tấn công có thể tìm ra cổng đầu tiên của một chuỗi nếu anh ta có thể giám sát
lưu lượng DNS của máy chủ đang chạy knockd. Cũng là một máy chủ được cho là tàng hình (ví dụ:
thả các gói xuống các cổng TCP đã đóng thay vì trả lời bằng gói ACK + RST) có thể
tự loại bỏ bằng cách phân giải tên DNS nếu kẻ tấn công cố gắng truy cập vào cổng đầu tiên (không xác định)
của một trình tự.

Sử dụng knockd trực tuyến bằng các dịch vụ onworks.net