如何讓我們的OpenSSH更安全

2021-03-15    分類: 網(wǎng)站建設(shè)

 

SSH與OpenSSH

1
PermitRootLogin no

2、僅使用 SSH Protocol 2

3、禁用空密碼

1
PermitEmptyPasswords no

4、用戶登錄控制

 

1
2
AllowUsers user1@host1 user1@!* *@*
DenyUsers user2

5、配置 Idle Log Out Timeout 間隔

1
2
ClientAliveInterval 300
ClientAliveCountMax 0

 

6、禁用基于主機的身份驗證

1
HostbasedAuthentication no

7、禁用用戶的 .rhosts 文件

1
IgnoreRhosts yes

8、強密碼策略(生成14位隨機字符密碼)

1

9、pam_chroot

通過ssh遠程登錄的用戶將被限制在jail環(huán)境中。

10、訪問控制

 

1
2
tcpwrapper(/etc/hosts.allow,/etc/hosts.deny)
iptables(限制源IP等)

二、攻防對抗

一旦攻擊者獲取了相關(guān)權(quán)限,就可能安裝openssh后門、或者隱身登錄等。接下來我們看看如何讓攻擊者無所遁形。

隱身登錄(登錄后,不能通過w、who查看到)

通過ssh –T來連接,但-T相當(dāng)于notty,ctrl+C會中斷會話;

另外,大家都知道,w查看時是通過utmp二進制log,如果攻擊者在獲取權(quán)限后,只要修改了utmp,就可以達到隱身效果,管理員再登錄上來的時候,通過w、who就看不到已經(jīng)登錄的攻擊者了,如下所示。

OpenSSH

當(dāng)然,這樣操作會造成整個utmp為空,如果是在管理員登錄之后再操作的話,還是會發(fā)現(xiàn)異常的。

同時也要處理下wtmp,否則還是會被審計到。

那么如何快遞排查呢,我們可以通過ps命令查看進程,如下圖所示。

我們可以看到當(dāng)攻擊者處理掉自己的記錄后,管理員雖然通過w、who看不到,但是進程中卻存在著攻擊者登錄申請的TTY。

OpenSSH

以上只是簡單的隱藏,通常情況下,攻擊者獲取權(quán)限后,會安裝openssh后門,成功運行后門后,攻擊者通過后門登錄將不記錄任何日志,正常用戶登錄該主機或者通過該主機通過ssh連接其他主機時,都會被后門記錄到賬號密碼。

這里我們介紹如何利用操作系統(tǒng)自身的工具手工快速查找后門,主要用到strace、strings、grep。

通過openssh后門功能中會記錄正常用戶登錄賬號密碼,因此猜測會用到open系統(tǒng)調(diào)用,只要在登錄是用strace跟蹤sshd打開的系統(tǒng)調(diào)用,然后過濾open,就應(yīng)該能獲取到記錄密碼的文件及路徑。

如何讓我們的OpenSSH更安全
文章地址:http://www.muchs.cn/news/105228.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、靜態(tài)網(wǎng)站、網(wǎng)站設(shè)計公司、定制開發(fā)、品牌網(wǎng)站設(shè)計、外貿(mào)建站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)