熟悉ssh的同学应该都知道.ssh目录,这个目录用来保存ssh一些客户端一些ssh配置、公钥,公钥认证的文件。~/.ssh的是一个非常重要的目录,也是安全隐患点,处理不好该目录安全设置,对导致严重安全问题,让主机被轻而易举的被人黑掉。据虫虫所知,一些木马、自动挖矿脚本就借助该目录信息自动扩散传播。本文就给大家介绍~/.ssh/的安全性。
.ssh目录介绍
目录~/.ssh/是用来存储SSH客户端和服务器一些配置文件的位置,这些文件包括:
- authorized_keys,SSH服务器默认的公钥认证文件,服务器通过该文件配置可以使用该用户认证的用户证书。SSH证书认证就是客户端生成证书(私钥和公钥对),将公钥复制到该文件,每行一个证书。复制公钥时候可以使用ssh-copy-id命令或者直接手动配置authorized_keys文件即可。
- id_*,包括id_rsa,id_dsa,id_ed25519,id_ecdsa等是保存在该用户下的证书私钥,用户通过SSH证书认证时候会自动搜索这些私钥进行认证。
- id_*.pub 上述私钥对应的公钥,以.pub为后缀。
- known_hosts 保存该主机连接过的远程服务器及其对应的主机公钥(用来对主机认证),再次连接到远程服务器如果公钥相同,则直接连接认证。如果没有,或者远程服务器有变化,会提示:
需要输入yes,确认才行。
- config 文件用来配置本地ssh连接的一些项目,比如配置主机别名的,可以解决同一主机或者多台主机使用多个证书,就可以用config配置,比如下面的配置:
- Host github.com
- HostName github.com
- User git
- IdentityFile ~/.ssh/git/github_id_rsa
- Host gitee.com
- HostName gitee.com
- User git
- IdentityFile ~/.ssh/git/gitee_id_rsa
- Host chongchong.com
- HostName 112.34.6.71
- Port 2222
- User chongchong
- IdentityFile ~/.ssh/id_ecdsa
- ForwardX11 yes
- Compression yes
- TCPKeepAlive yes
前两个Host配置对github和马云使用不同的证书,后面一个Host对一台主机配置使用非默认的ssh端口、非默认当前用户以及一些启用一些ssh配置项目。关于ssh config的配置虫虫之前的文章《Linux SSH实用技巧几则》做过介绍,大家可以参考。
.ssh目录安全性问题
主要的安全隐患,还是由于对.ssh目录的安全性认识不够或者由于管理疏忽,导致该目录的权限设置有问题。或者将目录暴露在Web目录或者git公开仓库。比如有些Web服务器中的www用户可以直接访问该目录。由于直接将用户目录设置成了Web根目录,而.ssh目录又是用户目录的子目录所以可以直接访问。
现在,绝大多数的管理员和开发都知道使用密码登陆服务是不安全的,因此都会用证书登陆。如果。ssh目录泄露意味着:
- 可以直接获得/.ssh/id_rsa等私钥;
- 可以直接知道authorized_keys、known_hosts和config的内容。
证书泄露
id_*文件是最重要级别的个人文件,该文件不允许泄露给第三人,根据不同的证书类型,私钥文件名可能为了id_dsa(DSA证书已经不是安全,请避免使用),id_rsa(RSA证书,请保证2048位以上),id_ecdsa和id_ed25519,一般来说私钥文件都会PRIVATE KEY的注释行,比如:
为了避免证书泄露后也能保持安全,建议私钥都设置证书密码:
以下密钥没有密码,ssh-keygen -y -f id_ecdsa可以直接显示公钥
- ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=
如果设置密码保护,则会提示输入密码:
- Enter passphrase:
- ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=
authorized_keys泄露
就算是私钥泄露来,如果没有其他信息,黑客也不知道私钥能用来连接到哪里,这就是为啥要把关键主机、一般主机以及用于管理git的证书都分别独立使用的,防止私钥泄露后导致的问题。但是黑客可以借助.ssh目录下的其他文件来获取更多的信息来精准的利用窃取的私钥。其中有个文件authorized_keys,前面我提到了,是用来配置可以连接到该主机用户下的所有的证书公钥。文件一行一个公钥,公钥以ssh-rsa,ssh-dss,ssh-ed25519,ssh-ecdsa开头,表示不同的证书类型。如果黑客获取了这些密钥,可以通过对比证书方式,验证对应私钥,然后可以利用私钥最终攻陷主机。如果攻击者成功,将会有完整SSH访问权限,能够运行任何命令。
known_hosts泄露
如果〜/.ssh /known_hosts泄露,则导致的危险性更大,因为该文件记录了,该主机私钥可以连接的远程主机列表。
根据该文件中的主机名或IP地址,可以直接被用来私钥来尝试登陆。很多木马传播方式就是利用自动解析该文件获取IP或者主机自动尝试登陆。
上面是一个挖矿木马自动传播部分脚本,从known_hosts获取传播目标:
- cat /root/.ssh/known_hosts|grep -v ,|awk '{print $1}' > /tmp/.h
- cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h
- cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h
为了避免这种攻击,可以设置ssh配置(/etc/ssh/ssh_config)的HashKnownHosts 为yes,则会对相关信息做哈希处理。则该文件条目就会被加密,结果如下:
- |1|wlPQdgFoYgYsqG6ae20lYopRLPI=|p61txQKmb+Hn49dsD+v0CNuEKd4= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzhZmG33G/3FG3vm0eDdyX1u++i0ceakIkJNgDxVVy6MpodRrpwqXXQj8/OGT
- Iwb4YpRXGuL3236IkGugI9GUgFd00UNjMSMt3pqob4hKsEzADl7YfZeV1X7X0b617nze0otdO7TwDMlQ/5KWUwdUoxg50VfpieTzcOpUN/G4J159iKZ41iSF7o4vI+fYisX8y5rJ1BRbt1HO0Gi7w9HZ8tN0B
- 0glM6JKyoE8TjvbZAeD9PWIWp9JpG1KTY4yXTV1B1CyvtxjRqTMm8mcb+gSGGvv6mSlWCNxJnlXhp91F2GtmgzKsE3FjcMUfkn3c0+P0bKaR8L3GtbyaXJmtDX4xQ==
其中第二部分wlPQdgFoYgYsqG6ae20lYopRLPI=为hostname加密。
第三部分p61txQKmb+Hn49dsD+v0CNuEKd4=为加密的IP地址。
加密的方法是HMAC-SHA1,而且我们知道IP地址是有限的:四段,每段1-255(2^32)可以群举,所以可以通过暴力攻击,计算哈希,对比哈希。有兴趣的同学可以尝试下。
config泄露
SSH客户端的配置文件通常包含hostname,别名,用户名,ssh端口,证书位置等信息。如果该文件暴露,可为攻击者提供更多信息,其危害类似known_hosts。
安全措施
要避免由于.ssh目录导致的安全问题,首先要设置目录和文件的权限。比如.ssh目录要设置为700,所有私钥文件和config文件要设置为600。
其次,避免将.ssh目录暴露到Web目录。
使用代理转发或ProxyJump。
在Web服务器的配置中添加特殊规则,阻止对/.ssh/目录的访问。
最后,避免.ssh配置文件,证书文件暴露到git公共仓库(github)等。