安裝 SSLH
大多數 Linux 發行版上 SSLH 都有軟體包,因此你可以使用默認包管理器進行安裝。
在 Debian、Ubuntu 及其衍生品上運行:
$ sudo apt-get install sslh
安裝 SSLH 時,將提示你是要將 sslh 作為從 inetd 運行的服務,還是作為獨立伺服器運行。每種選擇都有其自身的優點。如果每天只有少量連接,最好從 inetd 運行 sslh 以節省資源。另一方面,如果有很多連接,sslh 應作為獨立伺服器運行,以避免為每個傳入連接生成新進程。
在 Arch Linux 和 Antergos、Manjaro Linux 等衍生品上,使用 Pacman 進行安裝,如下所示:
$ sudo pacman -S sslh
在 RHEL、CentOS 上,你需要添加 EPEL 存儲庫,然後安裝 SSLH,如下所示:
$ sudo yum install epel-release
$ sudo yum install sslh
在 Fedora:
$ sudo dnf install sslh
如果它在默認存儲庫中不可用,你可以如這裡所述手動編譯和安裝 SSLH。
配置 Apache 或 Nginx Web 伺服器
如你所知,Apache 和 Nginx Web 伺服器默認會監聽所有網絡接口(即 0.0.0.0:443)。我們需要更改此設置以告知 Web 伺服器僅偵聽 localhost 接口(即 127.0.0.1:443 或 localhost:443)。
為此,請編輯 Web 伺服器(nginx 或 apache)配置文件並找到以下行:
listen 443 ssl;
將其修改為:
listen 127.0.0.1:443 ssl;
如果你在 Apache 中使用虛擬主機,請確保你也修改了它。
VirtualHost 127.0.0.1:443
保存並關閉配置文件。不要重新啟動該服務。我們還沒有完成。
配置 SSLH
使 Web 伺服器僅在本地接口上偵聽後,編輯 SSLH 配置文件:
$ sudo vi /etc/default/sslh
找到下列行:
Run=no
將其修改為:
Run=yes
然後,向下滾動一點並修改以下行以允許 SSLH 在所有可用接口上偵聽埠 443(例如 0.0.0.0:443)。
DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile /var/run/sslh/sslh.pid"
這裡,
–user sslh:要求在這個特定的用戶身份下運行。
–listen 0.0.0.0:443:SSLH 監聽於所有可用接口的 443 埠。
–sshs 127.0.0.1:22 : 將 SSH 流量路由到本地的 22 埠。
–ssl 127.0.0.1:443 : 將 HTTPS/SSL 流量路由到本地的 443 埠。
保存並關閉文件。
最後,啟用並啟動 sslh 服務以更新更改。
sudo systemctl enable sslh
$ sudo systemctl start sslh
測試
檢查 SSLH 守護程序是否正在監聽 443。
$ ps -ef | grep sslh
sslh 2746 1 0 15:51 ? 00:00:00 /usr/sbin/sslh --foreground --user sslh --listen 0.0.0.0 443 --ssh 127.0.0.1 22 --ssl 127.0.0.1 443 --pidfile /var/run/sslh/sslh.pid
sslh 2747 2746 0 15:51 ? 00:00:00 /usr/sbin/sslh --foreground --user sslh --listen 0.0.0.0 443 --ssh 127.0.0.1 22 --ssl 127.0.0.1 443 --pidfile /var/run/sslh/sslh.pid
sk 2754 1432 0 15:51 pts/0 00:00:00 grep --color=auto sslh
現在,你可以使用埠 443 通過 SSH 訪問遠程伺服器:
$ ssh -p 443 [email protected]
示例輸出:
[email protected]'s password:
Welcome to Ubuntu 18.04.2 LTS (GNU/Linux 4.15.0-55-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Wed Aug 14 13:11:04 IST 2019
System load: 0.23 Processes: 101
Usage of /: 53.5% of 19.56GB Users logged in: 0
Memory usage: 9% IP address for enp0s3: 192.168.225.50
Swap usage: 0% IP address for enp0s8: 192.168.225.51
* Keen to learn Istio? It's included in the single-package MicroK8s.
https://snapcraft.io/microk8s
61 packages can be updated.
22 updates are security updates.
Last login: Wed Aug 14 13:10:33 2019 from 127.0.0.1
看見了嗎?即使默認的 SSH 埠 22 被阻止,我現在也可以通過 SSH 訪問遠程伺服器。正如你在上面的示例中所看到的,我使用 https 埠 443 進行 SSH 連接。
我在我的 Ubuntu 18.04 LTS 伺服器上測試了 SSLH,它如上所述工作得很好。我在受保護的區域網中測試了 SSLH,所以我不知道是否有安全問題。如果你在生產環境中使用它,請在下面的評論部分中告訴我們使用 SSLH 的優缺點。