互联网上有许多使用 saslauthd 的说明。我尝试运行该服务。当我发现套接字/run/saslauthd/mux
和/usr/sbin/testsaslauthd
都可供非特权用户使用时,我感到很惊讶。因此,当您启动 saslauthd 时,它会使您的系统变得脆弱。
限制暴力破解的所谓方法是什么?我尝试用谷歌搜索,但谷歌只显示 SMTP 和 IMAP 内容,而不是 saslauthd 漏洞本身。
答案1
/run/saslauthd/mux
套接字并且/usr/sbin/testsaslauthd
都可供非特权用户使用。
是的,因为通常一些使用 SASL 进行身份验证的服务也可以以非特权用户身份运行。
因此当您启动 saslauthd 时,它会使您的系统变得脆弱。
这是一个相当大的飞跃。
saslauthd 服务只能由本地用户和进程使用,它不是可供在线暴力破解的网络服务。您无法在服务级别真正保护此类服务免受暴力破解,就像您无法保护命令su
免受暴力破解一样。
正如您已经暗示您可以做什么:
- 不要向不可信任的用户提供系统访问权限,只需保护调用 SASL 的实际网络服务免受暴力攻击即可,例如通过阻止远程攻击者(fail2ban 就是这样一种实现)
- 或者,由于 saslauthd 只是实际身份验证后端的网关,因此会在帐户级别记录失败的登录尝试,并在该特定帐户多次登录尝试失败后(暂时)锁定该帐户。