虽然SSH的安全性可能会受到各种攻击的威胁,但是企业可以采取一些步骤来防止它。 专家Dejan Lukan对此进行了详细说明。
云服务通常启用安全外壳(ssh )来管理和维护远程服务。 SSH的默认端口号为22,为客户端和服务器提供加密的通信信道,因此在云环境中得到广泛应用。 SSH的开发旨在替代通过Telnet和RSH/REXEC等未加密的通信信道发送明文消息的非安全协议。
本文将着眼于对不同类型的SSH的攻击以及如何提高云的SSH安全性。
对SSH的攻击
公共云系统通常可以从互联网的任何地方访问,因此容易受到各种攻击。 最常见的攻击包括
计时攻击:有多种算法可以在与SSH服务建立连接时加密用户输入。 由于大多数加密选项的执行时间相当长,攻击者可以利用计时信息获取系统的其他信息,如该系统的当前用户数。
拒绝服务攻击:在DoS攻击中,攻击者可以针对SSH服务生成多个并发会话,需要大量的服务资源。 SSH可能无法访问,线程数量可能会减少。 这是因为数据交换的压缩算法和加密算法需要时间。
密码攻击:攻击者可以面对互联网,对可以从Web上的任何地方访问的SSH服务器发起暴力和词典攻击。 如果能够正确解密根用户的密码,黑客就可以获得完全的服务器访问权限。
SSH的强化
为了加强SSH服务器的安全性,需要考虑以下多个因素。
配置选项:默认情况下,SSH是安全的协议,但也有用于增强SSH安全性的配置选项。 在信息安全资源的贡献文章中详细介绍了与sh守护程序相关的最常见的安全选项。
TCP Wrapper :您可以使用此程序,使用/etc/hosts.allow文件和/etc/hosts.deny文件指定允许或拒绝访问SSH服务器的IP列表。 一个很好的安全实践是,在/etc/hosts.allow中添加自己的IP地址,以防止自己被限制在服务器之外访问。
DenyHosts :此脚本允许企业监视无效的登录尝试,并阻止身份验证请求源的IP地址。 可以通过使用软件包管理器(如apt-get )安装从属主机软件包来启用此保护。 然后,配置/etc/denyhosts.conf文件,并修改SMTP设置,以便在特定IP地址被阻止时向管理员发送邮件。
端口敲击:公共云通常可以从互联网的任何地方访问,因此容易受到各种SSH攻击。 这当然可以通过禁用SSH服务来防止,但这样也无法使用SSH来管理服务。 端口爆震是与防火墙一起使用的技术,在打开指定的端口之前,会收到特殊的端口爆震顺序。 使用标头与服务器交换保密信息,打开指定的端口。 秘密爆震密码被封装在一组规则的端口中,需要发送SYN分组以验证其有效性。 客户端在收到任何端口的SYN包的正确顺序之前,不允许访问该端口。 这个方法有局限性。 这是一种模糊的安全机制,因为攻击者可以暴力攻击SYN包必须发送的端口顺序。 其他攻击(如数据包中继攻击)也可以破坏端口序列端口爆震的安全措施。 这是因为发送到远程服务器的包总是相同的,所以sniff和播放很容易。
单数据包认证和授权:该技术不需要在一个数据包头中嵌入秘密信息,而是在一个数据包有效载荷中。 在启动端口抽头顺序之前,请与服务器建立安全的加密通信信道,以防止重放攻击。 由于数据包并不相同,因此该方法是有效的,具有随机性的适当措施是在建立连接时进行的。 因此,即使一个攻击者可以对通过端口爆震交换的每个包进行sniff,也无法播放安静的歌曲。 这个选项可以更安全地使用。 防火墙通常不会阻止他们,因为通过端口爆震发送的数据包和端口扫描攻击的外观不同。
二元身份验证(2FA ):SSH服务器可以通过PAM模块或Duo Unix启用2FA。 两个验证选项都必须与密码或证书通过同一电话获取的安全令牌一起使用。
sh密钥管理—公司可以考虑使用通用SSH密钥管理器,并具有获取哪些用户可以访问单个资源的信息、取消注册旧证书和颁发新证书等高级功能。
结论
黑客攻击SSH的常用方法有很多,但也有加强SSH服务安全性和适当保护系统门户的选项。 应用所有这些安全建议后,黑客甚至无法识别SSH服务器是否存在于系统中,也无法通过暴力攻击用户密码获取系统权限。