scratchpads.ru

SSLH

SSLH – общий порт для HTTPS, SSH и OpenVPN

SSLH упакован для большинства дистрибутивов Linux, поэтому вы можете установить его с помощью менеджеров пакетов по умолчанию.

apt install sslh tor
ip a
192.168.1.50

Во время установки SSLH вам будет предложено запустить sslh как службу из inetd или как отдельный сервер.

[--ssh <addr>]
[--openvpn <addr>]
[--tinc <addr>]
[--xmpp <addr>]
[--http <addr>]
[--ssl <addr>]
[--tls <addr>]
[--anyprot <addr>]

Каждый выбор имеет свои преимущества.

При ограниченном количестве подключений в день, вероятно, лучше запустить sslh из inetd, чтобы сэкономить ресурсы.

С другой стороны, во многих соединениях sslh должен работать как отдельный сервер, чтобы не создавать новый процесс для каждого входящего соединения.

Настройте веб-серверы Apache или Nginx

Как вы уже знаете, веб-серверы Apache и Nginx будут прослушивать все сетевые интерфейсы (т. е. 0.0.0.0:443) по умолчанию.

Нам нужно изменить этот параметр, чтобы веб-сервер прослушивал только интерфейс localhost (т. е. 127.0.0.1:444 или localhost: 444).

Для этого отредактируйте файл конфигурации веб-сервера (nginx или apache) и найдите следующую строку:

listen 443 ssl;

И измените его на:

listen 127.0.0.1:444 ssl http2;
set_real_ip_from 192.168.1.50;#чтобы в логах коректно отображались ip
real_ip_header X-Forwarded-For;
real_ip_recursive on;
Если вы используете Virutalhosts в Apache, убедитесь, что вы также изменили его.
VirtualHost 127.0.0.1:444

Сохраните и закройте файлы конфигурации. Не перезапускайте сервисы. Мы еще не закончили.

Настройка SSLH

Сделав веб-серверы прослушивающими только локальный интерфейс, отредактируйте файл конфигурации SSLH:

nano /etc/default/sslh

Найдите следующую строку:

Run=no

И измените ее на:

Run=yes

Затем прокрутите немного вниз и измените следующую строку, чтобы разрешить SSLH прослушивать порт 443 на всех доступных интерфейсах (например, 0.0.0.0:443).

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --tls 127.0.0.1:444 --pidfile /var/run/sslh/sslh.pid"

Где:

  • –user sslh : требуется для запуска с указанным именем пользователя.
  • –listen 0.0.0.0:443 : SSLH прослушивает порт 443 на всех доступных интерфейсах.
  • –sshs 127.0.0.1:22 : маршрутизировать трафик SSH на порт 22 на локальном хосте.
  • –ssl 127.0.0.1:444 : маршрутизировать трафик HTTPS / SSL на порт 443 на локальном хосте.

Сохраните и закройте файл.

Наконец, включите и запустите службу sslh, чтобы обновить изменения.

systemctl enable sslh
systemctl start sslh

Тестирование

Проверьте, слушает ли демон SSLH 443.

$ ps -ef | grep sslh 
sslh 2746 1 0 15:51 ? 00:00:00 /usr/sbin/sslh --foreground --user sslh --listen 0.0.0.0 443 --ssh 127.0.0.1 22 --tls 127.0.0.1 444 --pidfile /var/run/sslh/sslh.pid
sslh 2747 2746 0 15:51 ? 00:00:00 /usr/sbin/sslh --foreground --user sslh --listen 0.0.0.0 443 --ssh 127.0.0.1 22 --tls 127.0.0.1 444 --pidfile /var/run/sslh/sslh.pid
sk 2754 1432 0 15:51 pts/0 00:00:00 grep --color=auto sslh
Теперь вы можете получить доступ к удаленному серверу через SSH через порт 443:
$ ssh -p 443 st@192.168.1.50
Видете?
Теперь я могу получить доступ к удаленному серверу через SSH, даже если заблокирован стандартный порт SSH 22.
Как вы видите в приведенном выше примере, я использовал https порт 443 для подключения SSH.
Также мы можем использовать тот же порт 443 и для соединений openVPN.
, , , ,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *