Tutorial SSHLOCKOUT untuk OpenBSD

Foto saya Penulis: Iwan Setiawan - Dibuat: · 2 min read · Label

Cara untuk menguji apakah sshlockout berfungsi adalah dengan mencoba masuk dari alamat IP yang berbeda. Anda dapat menggunakan VPN ke server dan memin

Modul SSH Lockout memungkinkan administrator untuk membatasi akses logon SSH ke lingkungan tersebut. Fitur ini menyediakan mekanisme untuk memastikan bahwa sumber daya pemrosesan tersedia untuk tugas-tugas berprioritas tinggi serta membantu mengelola pemeliharaan terjadwal. Perlu diketahui bahwa logon SSH yang ada tidak terpengaruh oleh penguncian. Penguncian hanya mencegah logon SSH baru. Akses ke perangkat lunak yang tidak bergantung pada SSH tidak terpengaruh.

Fitur ini menyediakan kontrol tingkat pengguna untuk menolak logon SSH secara umum sambil mengizinkan logon SSH dari akun pengguna tertentu. Tingkat kontrol ini tersedia berdasarkan cara Anda mengatur kontrol penguncian. Gambar berikut menunjukkan bidang-bidang yang tersedia pada tab Daftar Putih Penguncian.

Program sshlockout adalah lapisan keamanan tambahan yang melarang alamat IP yang telah mencapai ambang batas maksimum upaya kata sandi yang gagal. Program sshlockout berasal dari DragonFlyBSD dan telah diporting ke OpenBSD. Jika Anda berasal dari dunia Linux, ini mirip dengan Fail2Ban dan merupakan program yang sangat sederhana. Ketika sshlockout diatur menggunakan pengaturan di halaman manual, maka alamat IP apa pun yang melebihi 5 kata sandi yang salah akan diblokir dalam waktu satu jam. Kemudian pemblokiran IP akan kedaluwarsa setelah 1 hari dan diizinkan untuk mencoba login lagi.


tutorial sshlockout di openbsd



1. Apa Itu sshlockout 

Berikut ini adalah ulasan singkat tentang sshlockout dan cara menggunakannya secara efektif untuk memblokir penyerang pada mesin OpenBSD.

Program sshlockout adalah lapisan keamanan tambahan yang memblokir alamat IP yang telah mencapai ambang batas maksimum upaya memasukkan kata sandi yang gagal. Program sshlockout berasal dari DragonFlyBSD dan telah diporting ke OpenBSD. Jika Anda berasal dari dunia Linux, program ini mirip dengan Fail2Ban dan merupakan program yang sangat mudah. ​

Ketika sshlockout dikonfigurasi menggunakan pengaturan di halaman manual, program akan memblokir alamat IP apa pun yang melebihi 5 kata sandi yang salah dalam satu jam. Alamat IP yang diblokir diblokir secara default selama satu hari dan kemudian diizinkan untuk mencoba masuk lagi.

Sebelum Anda mengonfigurasi sshlockout, saya SANGAT menyarankan hal berikut:
  • Buat kunci RSA untuk autentikasi ssh.
  • Nonaktifkan autentikasi kata sandi ssh.
  • Nonaktifkan autentikasi root ssh.
  • Ubah port ssh default.
  • Setelah semua tugas ini selesai, saatnya untuk instalasi!.

2. Instalasi & Konfigurasi SSHLockout

Instalasi awal dilakukan dengan manajer paket OpenBSD sebagai pengguna root atau dengan hak akses root menggunakan perintah:


hostname1# pkg_add sshlockout
Untuk mengatur izin yang benar, edit /etc/doas.conf dan tambahkan yang berikut ini:


hostname1# permit nopass _syslogd as root cmd /usr/sbin/sshlockout
Sekarang setelah sshlockout terinstal, konfigurasi diperlukan. Anda perlu menambahkan tabel PF dan aturan untuk memblokir tabel tersebut. Edit di bagian bawah /etc/pf.conf berikut ini:


hostname1# table <lockout> persist
hostname1# block in quick on egress proto tcp from <lockout> to port 22
Untuk menguji dan kemudian menerapkan tabel dan aturan PF baru, jalankan perintah berikut:


hostname1# pf -n -f /etc/pf.conf && pfctl -f /etc/pf.conf
Kemudian Anda Edit /etc/syslog.conf dan untuk tujuan pencatatan tambahkan yang berikut ini:


auth.info;authpriv.info | exec /usr/bin/doas -n /usr/local/sbin/sshlockout -pf "lockout"
Bagian terakhir dari sshlockout adalah menambahkan baris ke crontab root untuk menghapus alamat IP yang diblokir. Lakukan perintah berikut:


hostname1# doas crontab -e
Setelah itu Anda menambahkan baris berikut ke crontab root:

Install MariaDB Server
3 3 * * * pfctl -tlockout -T expire 4294967295
Angka yang ditetapkan untuk kedaluwarsa adalah dalam hitungan detik. Ubah ke jumlah waktu yang diinginkan untuk memblokir IP publik yang berbahaya.

3. Test SSHLockout

Cara untuk menguji apakah sshlockout berfungsi adalah dengan mencoba masuk dari alamat IP yang berbeda. Anda dapat menggunakan VPN ke server dan memindahkan kunci ssh Anda ke direktori yang berbeda sehingga perintah ssh tidak akan menggunakannya. Kemudian Anda dapat mencoba ssh ke server Anda dan dengan kredensial acak. Setelah 5 kali gagal saat Anda mencoba menggunakan ssh, server akan hang alih-alih meminta kredensial. Untuk mengatasinya, diperlukan intervensi pengguna dengan menekan Ctrl+C.

Setelah diblokir, Anda harus memeriksa IP publik Anda saat koneksi VPN Anda aktif. Kemudian putuskan sambungan dari VPN Anda dan pindahkan kunci RSA Anda kembali ke ~/.ssh. Sekarang Anda dapat ssh ke server web jarak jauh Anda dan menjalankan perintah:


hostname1# pfctl -t lockout -T show | grep your.vpn.ip.address
Sekarang akan mengembalikan alamat IP VPN yang mengonfirmasi bahwa VPN tersebut telah ditambahkan ke daftar blokir.
Subscribe on LinkedIn Tutorial SSHLOCKOUT untuk OpenBSD

Enclosures Link: Tutorial SSHLOCKOUT untuk OpenBSD
Foto saya Post By Iwan Setiawan
Linux and BSD are operating systems for various platforms that focus on features, speed, and stability. These systems are derived from UNIX versions
 Location: Jl. Raya Imam Bonjol No.86, Telagamurni, Kec. Cikarang Bar., Kabupaten Bekasi, Jawa Barat 17841, Indonesia

Latitude: -6.2697727 - Longitude: 107.1165375 +62 81289065249

Labels: UnixBSD Post Comments Feed Blog Comments Feed 0 Komentar
4.94 / 169 rates
Posting Email

« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama
Langganan: Posting Komentar (Atom)
Silahkan Berkomentar, Kakak...! Bunda...!

Posting Komentar