SSH 서버 제로 데이 익스플로잇-자신을 보호하기위한 제안 SSH 제로

인터넷 스톰 센터 (Internet Storm Center) 에 따르면 SSH 제로 데이 익스플로잇이있는 것으로 보인다.

여기에 몇 가지 개념 증명 코드와 참조가 있습니다.

이것은 심각한 문제인 것처럼 보이므로 모든 Linux / Unix 시스템 관리자는주의해야합니다.

이 문제가 정시에 패치되지 않은 경우 어떻게 우리 자신을 보호합니까? 아니면 일반적으로 제로 데이 익스플로잇을 어떻게 처리합니까?

* 응답에 제안을 게시합니다.



답변

Damien Miller (OpenSSH 개발자)의 의견 : http://lwn.net/Articles/340483/

특히, 그가 제공 한 패킷 추적을 분석하는 데 시간을 보냈지 만 단순한 무차별 대입 공격으로 구성되어있는 것 같습니다.

따라서 0 일이 전혀 존재하지 않는다고는 생각하지 않습니다. 지금까지 유일한 증거는 익명의 소문과 검증 할 수없는 침입 기록입니다.


답변

내 제안은 IP 이외의 모든 사람에게 방화벽의 SSH 액세스를 차단하는 것입니다. iptables에서 :

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

답변

따라서 SANS 게시물에 따르면이 악용 does not work against current versions of SSH은 실제로 0 일이 아닙니다. 서버를 패치하면 괜찮을 것입니다.


답변

공급 업체에 불만

그렇게하면 모든 사람이 최신 버전을 얻게됩니다.


답변

이야기의 원천 인 참고 : http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

astalavista.com 및 다른 사이트를 해킹하는 유사한 스토리도 있습니다. romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

누군가가 의제를 가지고있는 것 같습니다 : romeo.copyandpaste.info/ ( “0days private 유지”)


답변

tcprules를 사용하기 위해 SSH를 컴파일하고 소수의 허용 규칙을 사용하여 다른 모든 것을 거부합니다.

또한 암호 시도가 거의 제거되고 침입 시도에 대한 보고서가 전송 될 때 심각하게 처리 할 수 ​​있습니다.


답변

포트 22에서 ssh를 실행하지 않습니다. 종종 다른 컴퓨터에서 로그인하기 때문에 iptables 를 통한 액세스를 방지하는 것을 좋아하지 않습니다 .

이는 제로 데이 공격 에 대한 훌륭한 보호 기능 입니다. 기본 구성 후에 반드시 적용됩니다. 내 서버 만 손상시키려는 사람에게는 효과적이지 않습니다. 포트 스캔은 ssh를 실행중인 포트를 보여 주지만 임의의 SSH 포트를 공격하는 스크립트는 내 호스트를 건너 뜁니다.

포트를 변경하려면 / etc / ssh / sshd_config 파일 에서 포트 를 추가 / 수정 하십시오.