谈谈.ssh目录的安全性
熟悉ssh的同学应该都知道.ssh目录,这个目录用来保存ssh一些客户端一些ssh配置、公钥,公钥认证的文件。~/.ssh的是一个非常重要的目录,也是安全隐患点,处理不好该目录安全设置,对导致严重安全问题,让主机被轻而易举的被人黑掉。据虫虫所知,一些木马、自动挖矿脚本就借助该目录信息自动扩散传播。本文就给大家介绍~/.ssh/的安全性。
.ssh目录介绍
目录~/.ssh/是用来存储SSH客户端和服务器一些配置文件的位置,这些文件包括:
- authorized_keys,SSH服务器默认的公钥认证文件,服务器通过该文件配置可以使用该用户认证的用户证书。SSH证书认证就是客户端生成证书(私钥和公钥对),将公钥复制到该文件,每行一个证书。复制公钥时候可以使用ssh-copy-id命令或者直接手动配置authorized_keys文件即可。
- id_*,包括id_rsa,id_dsa,id_ed25519,id_ecdsa等是保存在该用户下的证书私钥,用户通过SSH证书认证时候会自动搜索这些私钥进行认证。
- id_*.pub 上述私钥对应的公钥,以.pub为后缀。
- known_hosts保存该主机连接过的远程服务器及其对应的主机公钥(用来对主机认证),再次连接到远程服务器如果公钥相同,则直接连接认证。如果没有,或者远程服务器有变化,会提示:
需要输入yes,确认才行。
- config文件用来配置本地ssh连接的一些项目,比如配置主机别名的,可以解决同一主机或者多台主机使用多个证书,就可以用config配置,比如下面的配置:
前两个Host配置对github和马云使用不同的证书,后面一个Host对一台主机配置使用非默认的ssh端口、非默认当前用户以及一些启用一些ssh配置项目。关于sshconfig的配置虫虫之前的文章《LinuxSSH实用技巧几则》做过介绍,大家可以参考。
.ssh目录安全性问题
主要的安全隐患,还是由于对.ssh目录的安全性认识不够或者由于管理疏忽,导致该目录的权限设置有问题。或者将目录暴露在Web目录或者git公开仓库。比如有些Web服务器中的www用户可以直接访问该目录。由于直接将用户目录设置成了Web根目录,而.ssh目录又是用户目录的子目录所以可以直接访问。
现在,绝大多数的管理员和开发都知道使用密码登陆服务是不安全的,因此都会用证书登陆。如果。ssh目录泄露意味着:
- 可以直接获得/.ssh/id_rsa等私钥;
- 可以直接知道authorized_keys、known_hosts和config的内容。
证书泄露
id_*文件是最重要级别的个人文件,该文件不允许泄露给第三人,根据不同的证书类型,私钥文件名可能为了id_dsa(DSA证书已经不是安全,请避免使用),id_rsa(RSA证书,请保证2048位以上),id_ecdsa和id_ed25519,一般来说私钥文件都会PRIVATEKEY的注释行,比如:
为了避免证书泄露后也能保持安全,建议私钥都设置证书密码:
以下密钥没有密码,ssh-keygen -y -f id_ecdsa可以直接显示公钥
如果设置密码保护,则会提示输入密码:
authorized_keys泄露
就算是私钥泄露来,如果没有其他信息,黑客也不知道私钥能用来连接到哪里,这就是为啥要把关键主机、一般主机以及用于管理git的证书都分别独立使用的,防止私钥泄露后导致的问题。但是黑客可以借助.ssh目录下的其他文件来获取更多的信息来精准的利用窃取的私钥。其中有个文件authorized_keys,前面我提到了,是用来配置可以连接到该主机用户下的所有的证书公钥。文件一行一个公钥,公钥以ssh-rsa,ssh-dss,ssh-ed25519,ssh-ecdsa开头,表示不同的证书类型。如果黑客获取了这些密钥,可以通过对比证书方式,验证对应私钥,然后可以利用私钥最终攻陷主机。如果攻击者成功,将会有完整SSH访问权限,能够运行任何命令。
known_hosts泄露
如果〜/.ssh /known_hosts泄露,则导致的危险性更大,因为该文件记录了,该主机私钥可以连接的远程主机列表。
根据该文件中的主机名或IP地址,可以直接被用来私钥来尝试登陆。很多木马传播方式就是利用自动解析该文件获取IP或者主机自动尝试登陆。
上面是一个挖矿木马自动传播部分脚本,从known_hosts获取传播目标:
为了避免这种攻击,可以设置ssh配置(/etc/ssh/ssh_config)的HashKnownHosts为yes,则会对相关信息做哈希处理。则该文件条目就会被加密,结果如下:
其中第二部分wlPQdgFoYgYsqG6ae20lYopRLPI=为hostname加密。
第三部分p61txQKmb+Hn49dsD+v0CNuEKd4=为加密的IP地址。
加密的方法是HMAC-SHA1,而且我们知道IP地址是有限的:四段,每段1-255(2^32)可以群举,所以可以通过暴力攻击,计算哈希,对比哈希。有兴趣的同学可以尝试下。
config泄露
SSH客户端的配置文件通常包含hostname,别名,用户名,ssh端口,证书位置等信息。如果该文件暴露,可为攻击者提供更多信息,其危害类似known_hosts。
安全措施
要避免由于.ssh目录导致的安全问题,首先要设置目录和文件的权限。比如.ssh目录要设置为700,所有私钥文件和config文件要设置为600。
其次,避免将.ssh目录暴露到Web目录。
使用代理转发或ProxyJump。
在Web服务器的配置中添加特殊规则,阻止对/.ssh/目录的访问。
最后,避免.ssh配置文件,证书文件暴露到git公共仓库(github)等。
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- 偷鸡不成蚀把米,《使命召唤:战争地带》游戏外挂被发现含有恶意软件
- 国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?
- win7系统中右键计算机点击"管理"无法打开怎么回事?
- NTT联合CheckPoint打造针对物联网安全解决方案
- 完整的XSS wrom入侵实现流程
- IBM未经许可将用户照片用于AI训练,官方回应:有顾虑请退出
- 霸王背后的脆弱——完全解剖雷霆购物系统
- 怎么使用windows通用系统安装器?
- 2020年第三季度的垃圾邮件和网络钓鱼攻击分析
- 如何维护互联网信息安全?安全认证已启动,18款APP进入名单
- 黑客利用Firefox恶意扩展窃取Gmail数据
- 新一波与新冠疫苗相关的攻击
- 什么是网络唤醒功能
- 无线网络安全之隐藏无线路由器提高安全
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1重装上阵新赛季有哪些重型武器_重装上阵新赛季重型武器列表
- 2使用win7中本地搜索功能时四个技巧快速找到文件的操作方如何用win7的搜索功能法
- 3天天酷跑布鲁与冰原狼仔哪一个好 布鲁好还是冰原狼仔好
- 4斐讯k1路由器刷Breed BootLoader(不死UBoot)教程
- 5路由器密码忘了怎么办 无线路由器登陆密码忘了解决方法【详解】
- 6战双帕弥什超频晶币极如何获得_战双帕弥什超频晶币极获得方法
- 7如何重装系统(安装系统)win7,本文教您如何迅速重装win7系统
- 8Win8安装Office2013提示出错1402怎样办?
- 9WinXP打印机无法打印提示该文档未能打印怎样办?
- 10windows7专业版原版下载
常用系统
- 1新雨林木风 Windows10 x86 企业装机版2020年1月(32位) ISO镜像高速下载
- 2笔记本&台式机专用系统 GhostWin7 32位旗舰版2022年3月(32位) ISO镜像免费下载
- 3深度技术Ghost Win7 Sp1 电脑城万能装机版2020年2月(32位) ISO高速下载
- 4雨林木风Ghost Win8.1 (X32) 中秋特别 快速纯净版2021年9月(免激活) ISO镜像快速下载
- 5笔记本系统Ghost Win8.1 (32位) 极速纯净版2022年7月(免激活) ISO镜像高速下载
- 6番茄花园 Windows 10 极速企业版 2018年7月(64位) 提供下载
- 7雨林木风Ghost Win8.1 (X32) 元旦特别 快速纯净版2021年1月(免激活) ISO镜像快速下载
- 8新萝卜家园 Ghost Win7 x64 SP1 极速版2022年1月(64位) 高速下载
- 9电脑公司 GhostXpSp3 电脑城装机版 2022年4月 ISO镜像高速下载
- 10番茄花园 Ghost XP SP3 海量驱动装机版 2021年12月 ISO镜像高速下载