长亭百川云 - 文章详情

防御任意SSH远程代码执行漏洞

天御攻防实验室

60

2024-07-13

近期,OpenSSH服务器(sshd)中发现了一个严重的远程代码执行漏洞(CVE-2024-6387),被称为"regreSSHion"。这个漏洞影响了大量互联网上的SSH服务器,可能导致未经授权的远程攻击者以root权限执行任意代码。在这种背景下,spiped(开源)作为一个安全管道守护进程,为我们提供了一种额外的防御层,可以有效地缓解此类SSH漏洞的风险。

spiped的工作原理:spiped通过在SSH服务之前添加一层加密和认证,为SSH连接提供了额外的保护。它使用预共享的密钥来加密通信,这意味着即使攻击者能够利用SSH服务器的漏洞,他们仍然需要突破spiped的加密层。

使用spiped保护SSH的步骤:

  1. 安装spiped:在Ubuntu或Debian系统上,可以使用 sudo apt install spiped 安装。

  2. 生成密钥:

    sudo dd if=/dev/urandom bs=32 count=1 of=/etc/ssh/spiped.key sudo chmod 600 /etc/ssh/spiped.key

  3. 配置spiped服务:创建一个systemd服务文件 /etc/systemd/system/spiped-ssh.service

    Copy

    [Unit] Description=Spiped for SSH After=network.target [Service] ExecStart=/usr/bin/spiped -d -s '[0.0.0.0]:8022' -t '[127.0.0.1]:22' -k /etc/ssh/spiped.key Restart=always [Install] WantedBy=multi-user.target

  4. 启动spiped服务:

    Copy

    sudo systemctl enable spiped-ssh.service sudo systemctl start spiped-ssh.service

  5. 配置防火墙:阻止直接访问SSH端口(22),只允许通过spiped端口(8022)访问:

    Copy

    sudo ufw allow 8022/tcp sudo ufw deny 22/tcp sudo ufw reload

  6. 客户端配置:在客户端的 ~/.ssh/config 中添加:

    Copy

    Host your_server ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped_your_server_key

通过这种配置,即使SSH服务器存在漏洞,攻击者也无法直接利用它,因为所有的连接都需要先通过spiped的加密层。这大大提高了系统的安全性。

spiped的优势:

  1. 额外的加密层:即使SSH本身存在漏洞,攻击者也需要先突破spiped的加密。

  2. 灵活性:可以轻松地在不同的服务器之间移植和部署。

  3. 简单性:相比复杂的VPN解决方案,spiped更加轻量和易于配置。

  4. 与现有系统兼容:不需要修改SSH服务器的配置。

结论:在面对如CVE-2024-6387这样的严重SSH漏洞时,spiped提供了一种简单而有效的额外防御手段。通过在SSH服务前添加这一层保护,组织可以显著降低被远程攻击的风险。然而,需要注意的是,spiped应该被视为深度防御策略的一部分,而不是唯一的安全措施。定期更新系统、应用安全补丁、实施强密码策略等基本安全实践仍然是必不可少的。

通过结合使用spiped和其他安全最佳实践,我们可以大大提高SSH服务器的安全性,为敏感的远程访问提供更强大的保护。

附录A:
附录B:

参考资料:

https://www.daemonology.net/blog/2012-08-30-protecting-sshd-using-spiped.html

https://github.com/Tarsnap/spiped

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局

**
威胁情报**

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
**
APT**

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”

**
入侵分析与红队攻防**

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避

**
天御智库**

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2