SSH的安全性可能遭受各種各樣攻擊的威脅,但企業(yè)也同樣可以采取幾個步驟來防止這一切。專家Dejan Lukan對此給出了詳解。
云服務(wù)器通常會啟用Secure Shell(SSH)來進(jìn)行遠(yuǎn)程服務(wù)器的管理和維護(hù)工作。SSH默認(rèn)運行的端口號是22,它提供了客戶端和服務(wù)器的加密通信信道,因此在云環(huán)境中得以廣泛使用。SSH的開發(fā)旨在取代類似Telnet和RSH/REXEC這樣的通過未加密的通信信道來發(fā)送明文消息的非安全協(xié)議。
本文著眼于不同類型的針對SSH的攻擊以及如何提高云端SSH安全性的一些方法。
針對SSH的攻擊
公有云系統(tǒng)通常在互聯(lián)網(wǎng)的任何地方都可以被訪問到,這使得他們?nèi)菀资艿礁鞣N各樣的攻擊。最常見的攻擊包括:
計時攻擊:在同SSH服務(wù)器建立連接時,有各種不同的對用戶輸入進(jìn)行加密的算法。由于大部分的加密選項都需要花費相當(dāng)?shù)臅r間來執(zhí)行,攻擊者可以利用計時信息來獲取關(guān)于系統(tǒng)的額外信息,比如該系統(tǒng)當(dāng)前的用戶數(shù)量。
服務(wù)拒絕攻擊:在DoS攻擊中,攻擊者可以對SSH服務(wù)器產(chǎn)生多個并發(fā)會話,這將需要大量的服務(wù)器資源。SSH可能變得無法訪問,線程數(shù)偏低,由于那些耗時的用于數(shù)據(jù)交換的壓縮和加密算法。
密碼暴力攻擊:攻擊者可以對那種面向互聯(lián)網(wǎng),可以從Web任何地方訪問的SSH服務(wù)器發(fā)起暴力或者字典攻擊。如果能夠成功精確的破解root用戶的密碼,黑客可以獲得完全的服務(wù)器訪問權(quán)限。
強(qiáng)化SSH
要強(qiáng)化SSH服務(wù)器的安全性,有許多因素需要考慮,包括:
配置選項:SSH默認(rèn)就是安全的協(xié)議,但是仍然有些配置選項可以強(qiáng)化SSH的安全性。與SSH守護(hù)進(jìn)程相關(guān)的最常用的安全選項在信息安全資源的一篇貢獻(xiàn)文章中有詳細(xì)的解釋。TCP Wrapper:該程序可以被用來指定一個允許或者拒絕對SSH服務(wù)器訪問的IP列表,通過使用/etc/hosts.allow和/etc/hosts.deny文件。一個好的安全實踐是將你自己的IP地址添加到/etc/hosts.allow中以防止自己被鎖在服務(wù)器外不能訪問。DenyHosts:該腳本允許企業(yè)監(jiān)控?zé)o效的登錄嘗試并阻止身份驗證請求來源的IP地址。這項保護(hù)可以通過如apt-get這樣的包管理器來安裝DenyHosts包來開啟。然后,配置/etc/denyhosts.conf文件并修改SMTP設(shè)置,允許在阻止某些IP地址時發(fā)送郵件給管理員。端口敲門:公有云通常可以從互聯(lián)網(wǎng)的任何地方都訪問到,這使得他們?nèi)菀资艿礁鞣N各樣的SSH攻擊。這當(dāng)然可以通過禁用SSH服務(wù)來防止,但是這樣也無法使用SSH來管理服務(wù)器了。端口敲門是一項和防火墻一起使用的技術(shù),在收到一個特殊的端口敲擊順序后再開啟指定的端口。它使用數(shù)據(jù)頭同服務(wù)器交換隱秘信息,打開一個指定的端口。隱秘敲門暗號被封裝成一組有序的端口,并且需要發(fā)送SYN包來驗證有效性。當(dāng)對任意端口的SYN包的正確順序被接收到時,客戶端才會被允許訪問該端口。這種方法很有局限性,因為這是一種隱晦式安全的實現(xiàn),并且攻擊者仍然可以暴力攻擊SYN包需要發(fā)送的端口順序。其他攻擊,如分組中繼攻擊,也有可能并且可以擊敗端口順序端口敲門的安全性措施。這是由于發(fā)送給遠(yuǎn)程服務(wù)器的數(shù)據(jù)包總是相同的,要sniff和重放它們很容易。單數(shù)據(jù)包認(rèn)證與授權(quán):該技術(shù)不需要在一個分組報頭里嵌入秘密信息,而是在一個分組凈荷中。在發(fā)起一個端口敲擊順序前,先同服務(wù)器建立一個安全的加密通信信道以防止重放攻擊。由于數(shù)據(jù)包永遠(yuǎn)不會相同,所以這種方法是有效的,隨機(jī)性的適當(dāng)措施是在連接建立的時候做到的。因此,即使一個攻擊者能夠sniff在端口敲門中每個交換的數(shù)據(jù)包,他/她也將不能重放。這個選項使用起來也更安全,因為通常在端口敲門中發(fā)送的數(shù)據(jù)包和端口掃描攻擊的看起來不一樣,所以防火墻不會阻隔他們。雙因素認(rèn)證(2FA):SSH服務(wù)器可以通過PAM模塊或者Duo Unix來啟用2FA。這兩種認(rèn)證選項都需要密碼或者證書同一個電話獲取的安全令牌一起使用。SSH密鑰管理:企業(yè)可以考慮使用Universal SSH Key Manager,具備一些高級功能,如獲取哪個用戶能夠?qū)σ粋€資源進(jìn)行訪問這樣的信息,注銷老的證書,簽發(fā)新的證書等。結(jié)論
盡管黑客有很多常見的方法可以攻擊SSH,但也有一些選項可以強(qiáng)化SSH服務(wù)器的安全,恰當(dāng)?shù)谋Wo(hù)系統(tǒng)入口。應(yīng)用所有這些安全建議將導(dǎo)致黑客甚至察覺不到SSH服務(wù)器在系統(tǒng)中的存在,更不必說能使用暴力攻擊一個用戶的密碼來獲取系統(tǒng)權(quán)限了。
京公網(wǎng)安備 11010502049343號