SSH與OpenSSH

2、僅使用 SSH Protocol 2

3、禁用空密碼

4、用戶登錄控制

5、配置 Idle Log Out Timeout 間隔

6、禁用基于主機(jī)的身份驗(yàn)證

7、禁用用戶的 .rhosts 文件

8、強(qiáng)密碼策略（生成14位隨機(jī)字符密碼）

9、pam_chroot

通過(guò)ssh遠(yuǎn)程登錄的用戶將被限制在jail環(huán)境中。

10、訪問(wèn)控制

二、攻防對(duì)抗

一旦攻擊者獲取了相關(guān)權(quán)限，就可能安裝openssh后門、或者隱身登錄等。接下來(lái)我們看看如何讓攻擊者無(wú)所遁形。

隱身登錄（登錄后，不能通過(guò)w、who查看到）

通過(guò)ssh –T來(lái)連接，但-T相當(dāng)于notty，ctrl+C會(huì)中斷會(huì)話；

另外，大家都知道，w查看時(shí)是通過(guò)utmp二進(jìn)制log，如果攻擊者在獲取權(quán)限后，只要修改了utmp，就可以達(dá)到隱身效果，管理員再登錄上來(lái)的時(shí)候，通過(guò)w、who就看不到已經(jīng)登錄的攻擊者了，如下所示。

當(dāng)然，這樣操作會(huì)造成整個(gè)utmp為空，如果是在管理員登錄之后再操作的話，還是會(huì)發(fā)現(xiàn)異常的。

同時(shí)也要處理下wtmp，否則還是會(huì)被審計(jì)到。

那么如何快遞排查呢，我們可以通過(guò)ps命令查看進(jìn)程，如下圖所示。

我們可以看到當(dāng)攻擊者處理掉自己的記錄后，管理員雖然通過(guò)w、who看不到，但是進(jìn)程中卻存在著攻擊者登錄申請(qǐng)的TTY。

以上只是簡(jiǎn)單的隱藏，通常情況下，攻擊者獲取權(quán)限后，會(huì)安裝openssh后門，成功運(yùn)行后門后，攻擊者通過(guò)后門登錄將不記錄任何日志，正常用戶登錄該主機(jī)或者通過(guò)該主機(jī)通過(guò)ssh連接其他主機(jī)時(shí)，都會(huì)被后門記錄到賬號(hào)密碼。

這里我們介紹如何利用操作系統(tǒng)自身的工具手工快速查找后門，主要用到strace、strings、grep。

通過(guò)openssh后門功能中會(huì)記錄正常用戶登錄賬號(hào)密碼，因此猜測(cè)會(huì)用到open系統(tǒng)調(diào)用，只要在登錄是用strace跟蹤sshd打開(kāi)的系統(tǒng)調(diào)用，然后過(guò)濾open，就應(yīng)該能獲取到記錄密碼的文件及路徑。

網(wǎng)站建設(shè)知識(shí)

• 鄭州BGP機(jī)房更適合搭建流媒體服務(wù)器？ 2021-03-15
• 服務(wù)器機(jī)柜1U、2U、4U、42U尺寸你了解嗎？ 2021-03-15
• 獨(dú)享服務(wù)器是什么意思？ 2021-03-15
• 虛擬化托管服務(wù)器的功能以及特點(diǎn) 2021-03-15
• 盤點(diǎn)幾種服務(wù)器穩(wěn)定性測(cè)試方法 2021-03-15
• qq群排名五河是什么？ 2021-03-15
• 網(wǎng)絡(luò)防火墻的作用 2021-03-15
• 如何配置xinetd防止拒絕服務(wù)攻擊 2021-03-15
• 網(wǎng)站空間一年多少錢？ 2021-03-15
• 詳解Tomcat與Nginx，Apache的區(qū)別及優(yōu)缺點(diǎn) 2021-03-15
• 閃存是什么意思,NOR和NAND閃存有何區(qū)別？ 2021-03-15
• 如何監(jiān)視DNS服務(wù)器 2021-03-15
• 如何解決80端口被占用？ 2021-03-15

分類信息網(wǎng)

• 地磅秤
• 高空作業(yè)車租賃
• 衛(wèi)生間隔斷
• 房屋鑒定
• 建筑動(dòng)畫
• 不銹鋼雕塑
• 航空箱
• 石涼亭