云服務器通常會啟用Secure Shell(SSH)來進行遠程服務器的管理和維護工作。SSH默認運行的端口號是22,它提供了客戶端和服務器的加密通信信道,因此在云環境中得以廣泛使用。SSH的開發旨在取代類似Telnet和RSH/REXEC這樣的通過未加密的通信信道來發送明文消息的非安全協議。本文著眼于不同類型的針對SSH的攻擊以及如何提高云端SSH安全性的一些方法。
針對SSH的攻擊
公有云系統通常在互聯網的任何地方都可以被訪問到,這使得他們容易受到各種各樣的攻擊。最常見的攻擊包括:
計時攻擊:在同SSH服務器建立連接時,有各種不同的對用戶輸入進行加密的算法。由于大部分的加密選項都需要花費相當的時間來執行,攻擊者可以利用計時信息來獲取關于系統的額外信息,比如該系統當前的用戶數量。
服務拒絕攻擊:在DoS攻擊中,攻擊者可以對SSH服務器產生多個并發會話,這將需要大量的服務器資源。SSH可能變得無法訪問,線程數偏低,由于那些耗時的用于數據交換的壓縮和加密算法。
密碼暴力攻擊:攻擊者可以對那種面向互聯網,可以從Web任何地方訪問的SSH服務器發起暴力或者字典攻擊。如果能夠成功精確的破解root用戶的密碼,黑客可以獲得完全的服務器訪問權限。
強化SSH
要強化SSH服務器的安全性,有許多因素需要考慮,包括:
配置選項:SSH默認就是安全的協議,但是仍然有些配置選項可以強化SSH的安全性。與SSH守護進程相關的最常用的安全選項在信息安全資源的一篇貢獻文章中有詳細的解釋。TCP
Wrapper:該程序可以被用來指定一個允許或者拒絕對SSH服務器訪問的IP列表,通過使用/etc/hosts.allow和/etc/hosts.deny文件。一個好的安全實踐是將你自己的IP地址添加到/etc/hosts.allow中以防止自己被鎖在服務器外不能訪問。DenyHosts:該腳本允許企業監控無效的登錄嘗試并阻止身份驗證請求來源的IP地址。這項保護可以通過如apt-get這樣的包管理器來安裝DenyHosts包來開啟。然后,配置/etc/denyhosts.conf文件并修改SMTP設置,允許在阻止某些IP地址時發送郵件給管理員。端口敲門:公有云通常可以從互聯網的任何地方都訪問到,這使得他們容易受到各種各樣的SSH攻擊。這當然可以通過禁用SSH服務來防止,但是這樣也無法使用SSH來管理服務器了。端口敲門是一項和防火墻一起使用的技術,在收到一個特殊的端口敲擊順序后再開啟指定的端口。它使用數據頭同服務器交換隱秘信息,打開一個指定的端口。隱秘敲門暗號被封裝成一組有序的端口,并且需要發送SYN包來驗證有效性。當對任意端口的SYN包的正確順序被接收到時,客戶端才會被允許訪問該端口。這種方法很有局限性,因為這是一種隱晦式安全的實現,并且攻擊者仍然可以暴力攻擊SYN包需要發送的端口順序。其他攻擊,如分組中繼攻擊,也有可能并且可以擊敗端口順序端口敲門的安全性措施。這是由于發送給遠程服務器的數據包總是相同的,要sniff和重放它們很容易。單數據包認證與授權:該技術不需要在一個分組報頭里嵌入秘密信息,而是在一個分組凈荷中。在發起一個端口敲擊順序前,先同服務器建立一個安全的加密通信信道以防止重放攻擊。由于數據包永遠不會相同,所以這種方法是有效的,隨機性的適當措施是在連接建立的時候做到的。因此,即使一個攻擊者能夠sniff在端口敲門中每個交換的數據包,他/她也將不能重放。這個選項使用起來也更安全,因為通常在端口敲門中發送的數據包和端口掃描攻擊的看起來不一樣,所以防火墻不會阻隔他們。雙因素認證(2FA):SSH服務器可以通過PAM模塊或者Duo Unix來啟用2FA。這兩種認證選項都需要密碼或者證書同一個電話獲取的安全令牌一起使用。SSH密鑰管理:企業可以考慮使用Universal SSH Key Manager,具備一些高級功能,如獲取哪個用戶能夠對一個資源進行訪問這樣的信息,注銷老的證書,簽發新的證書等。結論
盡管黑客有很多常見的方法可以攻擊SSH,但也有一些選項可以強化SSH服務器的安全,恰當的保護系統入口。應用所有這些安全建議將導致黑客甚至察覺不到SSH服務器在系統中的存在,更不必說能使用暴力攻擊一個用戶的密碼來獲取系統權限了。
河南億恩科技股份有限公司(www.vbseamall.com)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
