可能重复:
SSH 服务器 0day 漏洞 - 自我保护建议
鉴于目前有猜测称存在利用 OpenSSH 远程漏洞的新零日攻击,我很想回答几个问题。
- 您采取了哪些措施来降低这种风险?
实施硬入口过滤器?据我所知,至少有一家大型托管服务提供商已经这样做了。
禁用该服务直到更好地了解风险?您能否快速识别整个网络中正在运行的版本?
- 如何验证风险的程度?
内部源代码评估?您有这些技能吗?
最喜欢的安全网站/信息源?您如何判断事实和谣言?
- 您的变更管理系统如何处理这些变更?
有紧急变更的快速处理流程吗?你能在一天内完成评估并执行计划吗?
一些链接:
http://isc.sans.org/diary.html?storyid=6742
http://74.125.95.132/search?q=cache:Y41uUwkWZeEJ:www.webhostingtalk.com/showthread.php%3Fp%3D6270083
答案1
我认为最重要的事情是升级您的 OpenSSH 版本。您提到的其他事情是限制有权访问 SSH 服务的用户;但这应该已经是一项已实施的安全措施。
答案2
此外,您可以让您的服务器监听备用端口号(较高),这会让端口扫描器更加难以扫描。
答案3
首先,通过最小化可见性来限制潜在风险。换句话说,确保尽可能少的服务是可见的和公开可访问的。你是否需要一个可供公众访问的 ssh 服务器?或者,您是否可以将所有 ssh 访问限制为仅在 VPN 后才可用?
通过对所有访问进行限制,使其必须经过单个(或几个)安全瓶颈,可以大大增加他人接触和利用该盒子的难度。
例如,在我上一份工作中,我负责制定此类政策并实施该政策,当时我们只有一个可以通过互联网访问的盒子。所有其他访问都需要通过 VPN。该盒子是“备份访问”点,它被 ACL 和防火墙规则严格锁定,因此只能从少数远程主机访问。这样,当 VPN 集中器出现问题时,我们就可以进行远程访问,但仅限于少数关键人员访问。
答案4
这是一个很难回答的问题,因为它完全取决于你的依赖用户需要什么。
- 有需要从家里访问的本地用户吗?关闭服务。他们可以自行管理,直到问题解决。
- 有远程用户吗?隔离网络,并限制 OpenSSH 计算机可以访问的服务。删除该计算机上任何用户的所有权限。
等等。抱歉,这是一个模糊的答案,但如果没有更多要求,这是你能做的最好的事情。