如何保护 saslauthd 免受本地暴力攻击?

如何保护 saslauthd 免受本地暴力攻击?

互联网上有许多使用 saslauthd 的说明。我尝试运行该服务。当我发现套接字/run/saslauthd/mux/usr/sbin/testsaslauthd都可供非特权用户使用时,我感到很惊讶。因此,当您启动 saslauthd 时,它会使您的系统变得脆弱。

限制暴力破解的所谓方法是什么?我尝试用谷歌搜索,但谷歌只显示 SMTP 和 IMAP 内容,而不是 saslauthd 漏洞本身。

答案1

/run/saslauthd/mux套接字并且/usr/sbin/testsaslauthd都可供非特权用户使用。

是的,因为通常一些使用 SASL 进行身份验证的服务也可以以非特权用户身份运行。

因此当您启动 saslauthd 时,它会使您的系统变得脆弱。

这是一个相当大的飞跃。

saslauthd 服务只能由本地用户和进程使用,它不是可供在线暴力破解的网络服务。您无法在服务级别真正保护此类服务免受暴力破解,就像您无法保护命令su免受暴力破解一样。

正如您已经暗示您可以做什么:

  • 不要向不可信任的用户提供系统访问权限,只需保护调用 SASL 的实际网络服务免受暴力攻击即可,例如通过阻止远程攻击者(fail2ban 就是这样一种实现)
  • 或者,由于 saslauthd 只是实际身份验证后端的网关,因此会在帐户级别记录失败的登录尝试,并在该特定帐户多次登录尝试失败后(暂时)锁定该帐户。

相关内容