谈谈.ssh目录的安全性

安全 应用安全
~/.ssh的是一个非常重要的目录,也是安全隐患点,处理不好该目录安全设置,对导致严重安全问题,让主机被轻而易举的被人黑掉。据虫虫所知,一些木马、自动挖矿脚本就借助该目录信息自动扩散传播。本文就给大家介绍~/.ssh/的安全性。

熟悉ssh的同学应该都知道.ssh目录,这个目录用来保存ssh一些客户端一些ssh配置、公钥,公钥认证的文件。~/.ssh的是一个非常重要的目录,也是安全隐患点,处理不好该目录安全设置,对导致严重安全问题,让主机被轻而易举的被人黑掉。据虫虫所知,一些木马、自动挖矿脚本就借助该目录信息自动扩散传播。本文就给大家介绍~/.ssh/的安全性。

[[313269]]

.ssh目录介绍

目录~/.ssh/是用来存储SSH客户端和服务器一些配置文件的位置,这些文件包括:

  • authorized_keys,SSH服务器默认的公钥认证文件,服务器通过该文件配置可以使用该用户认证的用户证书。SSH证书认证就是客户端生成证书(私钥和公钥对),将公钥复制到该文件,每行一个证书。复制公钥时候可以使用ssh-copy-id命令或者直接手动配置authorized_keys文件即可。
  • id_*,包括id_rsa,id_dsa,id_ed25519,id_ecdsa等是保存在该用户下的证书私钥,用户通过SSH证书认证时候会自动搜索这些私钥进行认证。
  • id_*.pub 上述私钥对应的公钥,以.pub为后缀。
  • known_hosts 保存该主机连接过的远程服务器及其对应的主机公钥(用来对主机认证),再次连接到远程服务器如果公钥相同,则直接连接认证。如果没有,或者远程服务器有变化,会提示:

谈谈.ssh目录的安全性

需要输入yes,确认才行。

  • config 文件用来配置本地ssh连接的一些项目,比如配置主机别名的,可以解决同一主机或者多台主机使用多个证书,就可以用config配置,比如下面的配置:

谈谈.ssh目录的安全性

  1. Host github.com  
  2. HostName github.com  
  3. User git  
  4. IdentityFile ~/.ssh/git/github_id_rsa  
  5.  
  6.  
  7. Host gitee.com  
  8. HostName gitee.com  
  9. User git  
  10. IdentityFile ~/.ssh/git/gitee_id_rsa  
  11.  
  12.  
  13. Host chongchong.com  
  14. HostName 112.34.6.71  
  15. Port 2222  
  16. User chongchong  
  17. IdentityFile ~/.ssh/id_ecdsa  
  18. ForwardX11 yes  
  19. Compression yes  
  20. TCPKeepAlive yes 

前两个Host配置对github和马云使用不同的证书,后面一个Host对一台主机配置使用非默认的ssh端口、非默认当前用户以及一些启用一些ssh配置项目。关于ssh config的配置虫虫之前的文章《Linux SSH实用技巧几则》做过介绍,大家可以参考。

.ssh目录安全性问题

主要的安全隐患,还是由于对.ssh目录的安全性认识不够或者由于管理疏忽,导致该目录的权限设置有问题。或者将目录暴露在Web目录或者git公开仓库。比如有些Web服务器中的www用户可以直接访问该目录。由于直接将用户目录设置成了Web根目录,而.ssh目录又是用户目录的子目录所以可以直接访问。

现在,绝大多数的管理员和开发都知道使用密码登陆服务是不安全的,因此都会用证书登陆。如果。ssh目录泄露意味着:

  • 可以直接获得/.ssh/id_rsa等私钥;
  • 可以直接知道authorized_keys、known_hosts和config的内容。

证书泄露

id_*文件是最重要级别的个人文件,该文件不允许泄露给第三人,根据不同的证书类型,私钥文件名可能为了id_dsa(DSA证书已经不是安全,请避免使用),id_rsa(RSA证书,请保证2048位以上),id_ecdsa和id_ed25519,一般来说私钥文件都会PRIVATE KEY的注释行,比如:

谈谈.ssh目录的安全性

为了避免证书泄露后也能保持安全,建议私钥都设置证书密码:

谈谈.ssh目录的安全性

以下密钥没有密码,ssh-keygen -y -f id_ecdsa可以直接显示公钥

  1. ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY

如果设置密码保护,则会提示输入密码:

  1. Enter passphrase: 
  2.  
  3. ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY

authorized_keys泄露

就算是私钥泄露来,如果没有其他信息,黑客也不知道私钥能用来连接到哪里,这就是为啥要把关键主机、一般主机以及用于管理git的证书都分别独立使用的,防止私钥泄露后导致的问题。但是黑客可以借助.ssh目录下的其他文件来获取更多的信息来精准的利用窃取的私钥。其中有个文件authorized_keys,前面我提到了,是用来配置可以连接到该主机用户下的所有的证书公钥。文件一行一个公钥,公钥以ssh-rsa,ssh-dss,ssh-ed25519,ssh-ecdsa开头,表示不同的证书类型。如果黑客获取了这些密钥,可以通过对比证书方式,验证对应私钥,然后可以利用私钥最终攻陷主机。如果攻击者成功,将会有完整SSH访问权限,能够运行任何命令。

known_hosts泄露

如果〜/.ssh /known_hosts泄露,则导致的危险性更大,因为该文件记录了,该主机私钥可以连接的远程主机列表。

根据该文件中的主机名或IP地址,可以直接被用来私钥来尝试登陆。很多木马传播方式就是利用自动解析该文件获取IP或者主机自动尝试登陆。

谈谈.ssh目录的安全性

上面是一个挖矿木马自动传播部分脚本,从known_hosts获取传播目标:

  1. cat /root/.ssh/known_hosts|grep -v ,|awk '{print $1}' > /tmp/.h 
  2. cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h 
  3. cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h 

为了避免这种攻击,可以设置ssh配置(/etc/ssh/ssh_config)的HashKnownHosts 为yes,则会对相关信息做哈希处理。则该文件条目就会被加密,结果如下:

  1. |1|wlPQdgFoYgYsqG6ae20lYopRLPI=|p61txQKmb+Hn49dsD+v0CNuEKd4ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzhZmG33G/3FG3vm0eDdyX1u++i0ceakIkJNgDxVVy6MpodRrpwqXXQj8/OGT 
  2. Iwb4YpRXGuL3236IkGugI9GUgFd00UNjMSMt3pqob4hKsEzADl7YfZeV1X7X0b617nze0otdO7TwDMlQ/5KWUwdUoxg50VfpieTzcOpUN/G4J159iKZ41iSF7o4vI+fYisX8y5rJ1BRbt1HO0Gi7w9HZ8tN0B  
  3. 0glM6JKyoE8TjvbZAeD9PWIWp9JpG1KTY4yXTV1B1CyvtxjRqTMm8mcb+gSGGvv6mSlWCNxJnlXhp91F2GtmgzKsE3FjcMUfkn3c0+P0bKaR8L3GtbyaXJmtDX4xQ== 

其中第二部分wlPQdgFoYgYsqG6ae20lYopRLPI=为hostname加密。

第三部分p61txQKmb+Hn49dsD+v0CNuEKd4=为加密的IP地址。

加密的方法是HMAC-SHA1,而且我们知道IP地址是有限的:四段,每段1-255(2^32)可以群举,所以可以通过暴力攻击,计算哈希,对比哈希。有兴趣的同学可以尝试下。

config泄露

SSH客户端的配置文件通常包含hostname,别名,用户名,ssh端口,证书位置等信息。如果该文件暴露,可为攻击者提供更多信息,其危害类似known_hosts。

安全措施

要避免由于.ssh目录导致的安全问题,首先要设置目录和文件的权限。比如.ssh目录要设置为700,所有私钥文件和config文件要设置为600。

其次,避免将.ssh目录暴露到Web目录。

使用代理转发或ProxyJump。

在Web服务器的配置中添加特殊规则,阻止对/.ssh/目录的访问。

最后,避免.ssh配置文件,证书文件暴露到git公共仓库(github)等。

 

 

 

责任编辑:赵宁宁 来源: 虫虫搜奇
相关推荐

2017-09-18 15:14:43

2011-05-31 18:41:45

复印机技巧

2011-05-20 21:27:33

2023-02-20 17:12:08

2011-08-19 12:17:46

2011-05-24 09:15:52

SSH

2009-11-30 09:41:38

2024-01-03 12:10:25

2010-11-24 11:37:51

2016-07-26 08:56:52

2021-01-16 16:24:14

Ubuntu计算机隐私

2021-10-31 16:10:50

公有云安全性IT

2010-04-14 17:19:51

Oracle数据库

2013-01-11 14:00:18

云存储云计算云安全

2021-10-19 06:05:20

网站安全网络威胁网络攻击

2022-07-08 16:10:55

线程安全对象

2012-04-05 09:52:21

开源软件Linux

2018-10-18 05:29:04

物联网设备物联网安全IOT

2009-07-21 17:22:05

2011-03-22 13:50:57

云计算
点赞
收藏

51CTO技术栈公众号