我将在 KVM VPS 上安装 Debian Wheezy。启用了 VNC 访问控制台,通过连接时嗅探网络流量,我看到 VNC 密码已加密,但其他所有内容均以纯文本形式发送。通过在安装过程的早期加载“网络控制台”组件,可以通过 SSH 远程安装 Debian。配置网络后,会出现一个对话框要求输入“远程安装密码”
然后我可以使用 连接到安装并通过加密连接继续安装。但是,远程安装密码必须在通过 VNC 连接时输入,因此以纯文本形式发送。嗅探密码的攻击者可以破坏安装。ssh [email protected]
在这种情况下,避免攻击者破坏安装的最佳方法是什么?
在输入远程安装密码之前,可以执行 shell。但是,安装环境非常有限,因此只有少数命令可用。我认为最好的选择是将 SSH 连接限制为仅我的 IP 地址,但这似乎不可能。
我想到过的另一个选择是输入远程安装密码后快速连接到安装,然后从 /etc/shadow 中删除“installer”用户,从而避免其他人登录,但不确定这是否足够安全。我希望还有更多我没有想到的选择。
答案1
我可能会使用 websockify 切换到 noVNC。在主机上运行 websockify,并将其配置为使用 SSL 证书。然后,您可以完全加密地连接到客户机。确保对原始 VNC 端口进行防火墙保护,使其无法从互联网访问。
另外,您可以使用 preseed 完全编写 debian 安装脚本,这样您无需登录即可输入内容。