Michael Cobb:OpenSSH是一個(gè)免費(fèi)的基于SSH協(xié)議的有關(guān)安全的網(wǎng)絡(luò)層實(shí)用工具。可在絕大多數(shù)基于Linux的系統(tǒng)上使用,也可以在許多網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備上使用,它為遠(yuǎn)程登錄和遠(yuǎn)程文件傳輸?shù)染W(wǎng)絡(luò)服務(wù)以多因素身份驗(yàn)證方式提供加密服務(wù)。默認(rèn)情況下,SSH服務(wù)器允許在關(guān)閉連接前嘗試登錄6次,一臺(tái)SSH客戶端只允許嘗試登錄3次。然而,研究員KingCope最新發(fā)現(xiàn)的身份認(rèn)證漏洞允許攻擊者可在2分鐘內(nèi)在一些鍵盤(pán)操作開(kāi)啟的OpenSSH服務(wù)器上不限次數(shù)的嘗試登錄。概念驗(yàn)證利用代碼是一個(gè)非常簡(jiǎn)單的命令:
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
雖然在兩分鐘內(nèi)暴力破解強(qiáng)密碼不太可能會(huì)成功,不過(guò)對(duì)于內(nèi)置SSH的設(shè)備來(lái)說(shuō)暴力破解密碼仍是一個(gè)常見(jiàn)現(xiàn)象,這表明攻擊者仍然在尋找使用弱密碼的服務(wù)器來(lái)謀求價(jià)值,特別是那些鍵盤(pán)操作認(rèn)證已在FreeBSD上等默認(rèn)啟用的時(shí)候。黑客不使用最常見(jiàn)的密碼,而是一些更特別的密碼來(lái)找到正確的,反正該認(rèn)證漏洞允許他們隨便進(jìn)行嘗試。
Red Hat、OpenBSD以及CentOS系統(tǒng)看上去可能不受該認(rèn)證漏洞影響,不過(guò)FreeBSD以及Mac操作系統(tǒng)會(huì)受影響,因?yàn)樗鼈冊(cè)谡J(rèn)證失敗時(shí)不會(huì)有任何延時(shí)。這雖然不是一個(gè)非常嚴(yán)重的漏洞,但在官方補(bǔ)丁和最佳實(shí)踐出來(lái)之前,管理員應(yīng)該采取以下步驟避免漏洞被利用:
·禁用密碼驗(yàn)證
·使用一個(gè)密鑰用于驗(yàn)證,只有具有密鑰的電腦可以訪問(wèn)面向Internet的服務(wù)器
·使用鍵長(zhǎng)度至少2048節(jié)
·使用強(qiáng)密碼來(lái)保護(hù)密鑰
·減少20或30秒嘗試登錄期
·限制嘗試登錄次數(shù)
·不禁用登錄失敗時(shí)的延時(shí)
也可以用Fail2ban這類的工具來(lái)防止OpenSSH漏洞,減少錯(cuò)誤認(rèn)證的幾率以及更新防火墻規(guī)則,在指定時(shí)間內(nèi)拒絕受懷疑的IP地址訪問(wèn)。
京公網(wǎng)安備 11010502049343號(hào)