您当前的位置:首页 > 新闻 > 科技

谈谈.ssh目录的安全性

时间:2020-03-15 13:52:46  来源:  作者:

熟悉ssh的同学应该都知道.ssh目录,这个目录用来保存ssh一些客户端一些ssh配置、公钥,公钥认证的文件。~/.ssh的是一个非常重要的目录,也是安全隐患点,处理不好该目录安全设置,对导致严重安全问题,让主机被轻而易举的被人黑掉。据虫虫所知,一些木马、自动挖矿脚本就借助该目录信息自动扩散传播。本文就给大家介绍~/.ssh/的安全性。

 

谈谈.ssh目录的安全性

 

 

.ssh目录介绍

目录~/.ssh/是用来存储SSH客户端和服务器一些配置文件的位置,这些文件包括:

authorized_keys,SSH服务器默认的公钥认证文件,服务器通过该文件配置可以使用该用户认证的用户证书。SSH证书认证就是客户端生成证书(私钥和公钥对),将公钥复制到该文件,每行一个证书。复制公钥时候可以使用ssh-copy-id命令或者直接手动配置authorized_keys文件即可。

id_*,包括id_rsa,id_dsa,id_ed25519,id_ecdsa等是保存在该用户下的证书私钥,用户通过SSH证书认证时候会自动搜索这些私钥进行认证。

id_*.pub 上述私钥对应的公钥,以.pub为后缀。

known_hosts 保存该主机连接过的远程服务器及其对应的主机公钥(用来对主机认证),再次连接到远程服务器如果公钥相同,则直接连接认证。如果没有,或者远程服务器有变化,会提示:

谈谈.ssh目录的安全性

 

需要输入yes,确认才行。

config 文件用来配置本地ssh连接的一些项目,比如配置主机别名的,可以解决同一主机或者多台主机使用多个证书,就可以用config配置,比如下面的配置:

谈谈.ssh目录的安全性

 

Host github.com

HostName github.com

User git

IdentityFile ~/.ssh/git/github_id_rsa

 

Host gitee.com

HostName gitee.com

User git

IdentityFile ~/.ssh/git/gitee_id_rsa

 

Host chongchong.com

HostName 112.34.6.71

Port 2222

User chongchong

IdentityFile ~/.ssh/id_ecdsa

ForwardX11 yes

Compression yes

TCPKeepAlive yes

前两个Host配置对github和马云使用不同的证书,后面一个Host对一台主机配置使用非默认的ssh端口、非默认当前用户以及一些启用一些ssh配置项目。关于ssh config的配置虫虫之前的文章《linux SSH实用技巧几则》做过介绍,大家可以参考。

.ssh目录安全性问题

主要的安全隐患,还是由于对.ssh目录的安全性认识不够或者由于管理疏忽,导致该目录的权限设置有问题。或者将目录暴露在Web目录或者git公开仓库。比如有些Web服务器中的www用户可以直接访问该目录。由于直接将用户目录设置成了Web根目录,而.ssh目录又是用户目录的子目录所以可以直接访问。

现在,绝大多数的管理员和开发都知道使用密码登陆服务是不安全的,因此都会用证书登陆。如果。ssh目录泄露意味着:

可以直接获得/.ssh/id_rsa等私钥;

可以直接知道authorized_keys、known_hosts和config的内容。

证书泄露

id_*文件是最重要级别的个人文件,该文件不允许泄露给第三人,根据不同的证书类型,私钥文件名可能为了id_dsa(DSA证书已经不是安全,请避免使用),id_rsa(RSA证书,请保证2048位以上),id_ecdsa和id_ed25519,一般来说私钥文件都会PRIVATE KEY的注释行,比如:

谈谈.ssh目录的安全性

 

 

为了避免证书泄露后也能保持安全,建议私钥都设置证书密码:

谈谈.ssh目录的安全性

 

以下密钥没有密码,ssh-keygen -y -f id_ecdsa可以直接显示公钥

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=

如果设置密码保护,则会提示输入密码:

Enter passphrase:

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=

authorized_keys泄露

就算是私钥泄露来,如果没有其他信息,黑客也不知道私钥能用来连接到哪里,这就是为啥要把关键主机、一般主机以及用于管理git的证书都分别独立使用的,防止私钥泄露后导致的问题。但是黑客可以借助.ssh目录下的其他文件来获取更多的信息来精准的利用窃取的私钥。其中有个文件authorized_keys,前面我提到了,是用来配置可以连接到该主机用户下的所有的证书公钥。文件一行一个公钥,公钥以ssh-rsa,ssh-dss,ssh-ed25519,ssh-ecdsa开头,表示不同的证书类型。如果黑客获取了这些密钥,可以通过对比证书方式,验证对应私钥,然后可以利用私钥最终攻陷主机。如果攻击者成功,将会有完整SSH访问权限,能够运行任何命令。

known_hosts泄露

如果〜/.ssh /known_hosts泄露,则导致的危险性更大,因为该文件记录了,该主机私钥可以连接的远程主机列表。

根据该文件中的主机名或IP地址,可以直接被用来私钥来尝试登陆。很多木马传播方式就是利用自动解析该文件获取IP或者主机自动尝试登陆。

谈谈.ssh目录的安全性

 

上面是一个挖矿木马自动传播部分脚本,从known_hosts获取传播目标:

cat /root/.ssh/known_hosts|grep -v ,|awk '{print $1}' > /tmp/.h

cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h

cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h

为了避免这种攻击,可以设置ssh配置(/etc/ssh/ssh_config)的HashKnownHosts 为yes,则会对相关信息做哈希处理。则该文件条目就会被加密,结果如下:

|1|wlPQdgFoYgYsqG6ae20lYopRLPI=|p61txQKmb+Hn49dsD+v0CNuEKd4= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzhZmG33G/3FG3vm0eDdyX1u++i0ceakIkJNgDxVVy6MpodRrpwqXXQj8/OGT

Iwb4YpRXGuL3236IkGugI9GUgFd00UNjMSMt3pqob4hKsEzADl7YfZeV1X7X0b617nze0otdO7TwDMlQ/5KWUwdUoxg50VfpieTzcOpUN/G4J159iKZ41iSF7o4vI+fYisX8y5rJ1BRbt1HO0Gi7w9HZ8tN0B

0glM6JKyoE8TjvbZAeD9PWIWp9JpG1KTY4yXTV1B1CyvtxjRqTMm8mcb+gSGGvv6mSlWCNxJnlXhp91F2GtmgzKsE3FjcMUfkn3c0+P0bKaR8L3GtbyaXJmtDX4xQ==

其中第二部分wlPQdgFoYgYsqG6ae20lYopRLPI=为hostname加密。

第三部分p61txQKmb+Hn49dsD+v0CNuEKd4=为加密的IP地址。

加密的方法是Hmac-SHA1,而且我们知道IP地址是有限的:四段,每段1-255(2^32)可以群举,所以可以通过暴力攻击,计算哈希,对比哈希。有兴趣的同学可以尝试下。

config泄露

SSH客户端的配置文件通常包含hostname,别名,用户名,ssh端口,证书位置等信息。如果该文件暴露,可为攻击者提供更多信息,其危害类似known_hosts。

安全措施

要避免由于.ssh目录导致的安全问题,首先要设置目录和文件的权限。比如.ssh目录要设置为700,所有私钥文件和config文件要设置为600。

其次,避免将.ssh目录暴露到Web目录。

使用代理转发或ProxyJump。

在Web服务器的配置中添加特殊规则,阻止对/.ssh/目录的访问。

最后,避免.ssh配置文件,证书文件暴露到git公共仓库(github)等。



Tags:ssh   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
转自: https://kermsite.com/p/wt-ssh/由于格式问题,部分链接、表格可能会失效,若失效请访问原文密码登录 以及 通过密钥实现免密码登录Dec 15, 2021阅读时长: 6 分钟简介Windo...【详细内容】
2021-12-17  Tags: ssh  点击:(16)  评论:(0)  加入收藏
在本教程中,将展示如何使用Centos8的DVD镜像引导Rescue救援模式,并在救援模式中启用网络、配置SSH服务,供用户远程登录该服务器 系统环境Centos8加载ISO镜像,进入救...【详细内容】
2021-11-30  Tags: ssh  点击:(29)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Tags: ssh  点击:(32)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Tags: ssh  点击:(37)  评论:(0)  加入收藏
老配置文件导到新交换机上,SSH不能登陆,会提示Received disconnect from 192.168.2.163: 2: The connection is closed by SSH ServerCurrent FSM is SSH_Main_VersionMatch其...【详细内容】
2021-10-26  Tags: ssh  点击:(162)  评论:(0)  加入收藏
背景上次给大家介绍了实现基础的运维系统功能—webssh,今日书接上回,继续给大家介绍一个web远程ssh终端录像回放功能。 一、思路网上查了一下资料,搜索了一下关于实现webs...【详细内容】
2021-10-13  Tags: ssh  点击:(40)  评论:(0)  加入收藏
一、背景介绍Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称叫做MSF。Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强大性,更重要的...【详细内容】
2021-09-28  Tags: ssh  点击:(64)  评论:(0)  加入收藏
目的本文的目的是指导在Windows操作系统下面,如何配置通过ssh key来访问gerrit服务器。检查并生成本地的ssh key检查是否已经存在ssh key在生成本地的ssh key之前,我们需要首...【详细内容】
2021-07-23  Tags: ssh  点击:(129)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  Tags: ssh  点击:(186)  评论:(0)  加入收藏
今天在虚拟机里面安装了docker,利用docker起了一个centos。里面配置完成openssh后,利用xsheel连接docker里面的centos,发现特别慢,差不多要的1分钟才能连接上去。这肯定是有问题...【详细内容】
2021-07-21  Tags: ssh  点击:(131)  评论:(0)  加入收藏
▌简易百科推荐
非法购买公民信息、开发人脸认证规避技术……今年年初,广东省公安厅网安部门侦破全国首例破解“青少年防沉迷系统”的新型网络犯罪案件,抓获犯罪嫌疑人13名,查处非...【详细内容】
2021-12-28    人民日报客户端  Tags:数据安全步   点击:(5)  评论:(0)  加入收藏
就在今天,腾讯方面宣布将在2022年1月31日下架企业QQ和营销QQ,其实这一消息的降临并不让笔者意外,因为早在今年的10月28日20点之后,企业QQ和营销QQ就被停止了续费服务。相信很多...【详细内容】
2021-12-27  科技探险家    Tags:企业QQ   点击:(21)  评论:(0)  加入收藏
日前,上海交通大学发布《全球电竞之都评价报告》,对全球15个致力于发展电竞之都的城市进行评价,上海作为中国城市电竞发展的排头兵,其拥有众多优质电竞企业及完整产业集群,因此排...【详细内容】
2021-12-27  经济日报    Tags:电竞   点击:(3)  评论:(0)  加入收藏
为优化网络氛围环境,微博又开始整顿用户信息了。本月月初,微博官方发布公告,要求昵称中带有如“二货”“SB”“瘪三”“娘炮”等明显低俗或侮辱性词汇的用户尽快修改,否则将面临...【详细内容】
2021-12-24  运了个营    Tags:微博   点击:(10)  评论:(0)  加入收藏
昨日谷歌宣布,自2022年12月19日开始停止对OnHub的软件支持,OnHub路由器仍将提供Wi-Fi信号,但用户无法用谷歌Home应用程序管理它。无法更新Wi-Fi网络设置、添加额外的Wifi设备或...【详细内容】
2021-12-22  雷峰网    Tags:Google OnHub   点击:(5)  评论:(0)  加入收藏
IT之家 12 月 20 日消息,百度网盘青春版 iOS 客户端今日晚间率先开启内测,安卓客户端将在稍后内测。使用苹果 iPhone 的IT之家小伙伴可以点此下载内测版,需要先下载 TestFlight...【详细内容】
2021-12-21  IT之家    Tags:百度网盘   点击:(10)  评论:(0)  加入收藏
对于拼车单,是接还是不接,不少网约车司机表示很矛盾。接吧,钱少事多,常常跑了个寂寞,不接吧,车多客少,挑三拣四没饭吃。 在平台大力推广拼车单之下,不少司机迫于生活压力,最终还是打...【详细内容】
2021-12-17  网约车情报分享    Tags:滴滴   点击:(9)  评论:(0)  加入收藏
蓝鲸TMT频道12月16日讯,据饿了么官方微信公众号,近日,在圆桌会上,蓝骑士与平台交流了配送安全问题。饿了么表示,线上将技术手段融入安全防护;线下将持续进行安全培训,并试点智能头...【详细内容】
2021-12-17    金融界  Tags:饿了么   点击:(24)  评论:(0)  加入收藏
开源最前线(ID:OpenSourceTop) 猿妹编译项目地址: https://github.com/restic/restic全球知名代码托管平台 GitHub 今天就重磅发布了今年的年度报告——《2021 年度 O...【详细内容】
2021-12-17  Python部落    Tags:   点击:(9)  评论:(0)  加入收藏
新京报快讯 据中国网络视听节目服务协会网站消息,12月15日,中国网络视听节目服务协会发布了《网络短视频内容审核标准细则》(2021)。中国网络视听节目服务协会组织有关短视频平...【详细内容】
2021-12-16    新京报  Tags:短视频   点击:(11)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条