談談.ssh目錄的安全性
熟悉ssh的同學應該都知道.ssh目錄,這個目錄用來保存ssh一些客戶端一些ssh配置、公鑰,公鑰認證的文件。~/.ssh的是一個非常重要的目錄,也是安全隱患點,處理不好該目錄安全設置,對導致嚴重安全問題,讓主機被輕而易舉的被人黑掉。據蟲蟲所知,一些木馬、自動挖礦腳本就借助該目錄信息自動擴散傳播。本文就給大家介紹~/.ssh/的安全性。
.ssh目錄介紹
目錄~/.ssh/是用來存儲SSH客戶端和服務器一些配置文件的位置,這些文件包括:
- authorized_keys,SSH服務器默認的公鑰認證文件,服務器通過該文件配置可以使用該用戶認證的用戶證書。SSH證書認證就是客戶端生成證書(私鑰和公鑰對),將公鑰復制到該文件,每行一個證書。復制公鑰時候可以使用ssh-copy-id命令或者直接手動配置authorized_keys文件即可。
- id_*,包括id_rsa,id_dsa,id_ed25519,id_ecdsa等是保存在該用戶下的證書私鑰,用戶通過SSH證書認證時候會自動搜索這些私鑰進行認證。
- id_*.pub 上述私鑰對應的公鑰,以.pub為后綴。
- known_hosts 保存該主機連接過的遠程服務器及其對應的主機公鑰(用來對主機認證),再次連接到遠程服務器如果公鑰相同,則直接連接認證。如果沒有,或者遠程服務器有變化,會提示:
需要輸入yes,確認才行。
- config 文件用來配置本地ssh連接的一些項目,比如配置主機別名的,可以解決同一主機或者多臺主機使用多個證書,就可以用config配置,比如下面的配置:
- Host github.com
- HostName github.com
- User git
- IdentityFile ~/.ssh/git/github_id_rsa
- Host gitee.com
- HostName gitee.com
- User git
- IdentityFile ~/.ssh/git/gitee_id_rsa
- Host chongchong.com
- HostName 112.34.6.71
- Port 2222
- User chongchong
- IdentityFile ~/.ssh/id_ecdsa
- ForwardX11 yes
- Compression yes
- TCPKeepAlive yes
前兩個Host配置對github和馬云使用不同的證書,后面一個Host對一臺主機配置使用非默認的ssh端口、非默認當前用戶以及一些啟用一些ssh配置項目。關于ssh config的配置蟲蟲之前的文章《Linux SSH實用技巧幾則》做過介紹,大家可以參考。
.ssh目錄安全性問題
主要的安全隱患,還是由于對.ssh目錄的安全性認識不夠或者由于管理疏忽,導致該目錄的權限設置有問題。或者將目錄暴露在Web目錄或者git公開倉庫。比如有些Web服務器中的www用戶可以直接訪問該目錄。由于直接將用戶目錄設置成了Web根目錄,而.ssh目錄又是用戶目錄的子目錄所以可以直接訪問。
現在,絕大多數的管理員和開發都知道使用密碼登陸服務是不安全的,因此都會用證書登陸。如果。ssh目錄泄露意味著:
- 可以直接獲得/.ssh/id_rsa等私鑰;
- 可以直接知道authorized_keys、known_hosts和config的內容。
證書泄露
id_*文件是最重要級別的個人文件,該文件不允許泄露給第三人,根據不同的證書類型,私鑰文件名可能為了id_dsa(DSA證書已經不是安全,請避免使用),id_rsa(RSA證書,請保證2048位以上),id_ecdsa和id_ed25519,一般來說私鑰文件都會PRIVATE KEY的注釋行,比如:
為了避免證書泄露后也能保持安全,建議私鑰都設置證書密碼:
以下密鑰沒有密碼,ssh-keygen -y -f id_ecdsa可以直接顯示公鑰
- ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=
如果設置密碼保護,則會提示輸入密碼:
- Enter passphrase:
- ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=
authorized_keys泄露
就算是私鑰泄露來,如果沒有其他信息,黑客也不知道私鑰能用來連接到哪里,這就是為啥要把關鍵主機、一般主機以及用于管理git的證書都分別獨立使用的,防止私鑰泄露后導致的問題。但是黑客可以借助.ssh目錄下的其他文件來獲取更多的信息來精準的利用竊取的私鑰。其中有個文件authorized_keys,前面我提到了,是用來配置可以連接到該主機用戶下的所有的證書公鑰。文件一行一個公鑰,公鑰以ssh-rsa,ssh-dss,ssh-ed25519,ssh-ecdsa開頭,表示不同的證書類型。如果黑客獲取了這些密鑰,可以通過對比證書方式,驗證對應私鑰,然后可以利用私鑰最終攻陷主機。如果攻擊者成功,將會有完整SSH訪問權限,能夠運行任何命令。
known_hosts泄露
如果〜/.ssh /known_hosts泄露,則導致的危險性更大,因為該文件記錄了,該主機私鑰可以連接的遠程主機列表。
根據該文件中的主機名或IP地址,可以直接被用來私鑰來嘗試登陸。很多木馬傳播方式就是利用自動解析該文件獲取IP或者主機自動嘗試登陸。
上面是一個挖礦木馬自動傳播部分腳本,從known_hosts獲取傳播目標:
- cat /root/.ssh/known_hosts|grep -v ,|awk '{print $1}' > /tmp/.h
- cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h
- cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h
為了避免這種攻擊,可以設置ssh配置(/etc/ssh/ssh_config)的HashKnownHosts 為yes,則會對相關信息做哈希處理。則該文件條目就會被加密,結果如下:
- |1|wlPQdgFoYgYsqG6ae20lYopRLPI=|p61txQKmb+Hn49dsD+v0CNuEKd4= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzhZmG33G/3FG3vm0eDdyX1u++i0ceakIkJNgDxVVy6MpodRrpwqXXQj8/OGT
- Iwb4YpRXGuL3236IkGugI9GUgFd00UNjMSMt3pqob4hKsEzADl7YfZeV1X7X0b617nze0otdO7TwDMlQ/5KWUwdUoxg50VfpieTzcOpUN/G4J159iKZ41iSF7o4vI+fYisX8y5rJ1BRbt1HO0Gi7w9HZ8tN0B
- 0glM6JKyoE8TjvbZAeD9PWIWp9JpG1KTY4yXTV1B1CyvtxjRqTMm8mcb+gSGGvv6mSlWCNxJnlXhp91F2GtmgzKsE3FjcMUfkn3c0+P0bKaR8L3GtbyaXJmtDX4xQ==
其中第二部分wlPQdgFoYgYsqG6ae20lYopRLPI=為hostname加密。
第三部分p61txQKmb+Hn49dsD+v0CNuEKd4=為加密的IP地址。
加密的方法是HMAC-SHA1,而且我們知道IP地址是有限的:四段,每段1-255(2^32)可以群舉,所以可以通過暴力攻擊,計算哈希,對比哈希。有興趣的同學可以嘗試下。
config泄露
SSH客戶端的配置文件通常包含hostname,別名,用戶名,ssh端口,證書位置等信息。如果該文件暴露,可為攻擊者提供更多信息,其危害類似known_hosts。
安全措施
要避免由于.ssh目錄導致的安全問題,首先要設置目錄和文件的權限。比如.ssh目錄要設置為700,所有私鑰文件和config文件要設置為600。
其次,避免將.ssh目錄暴露到Web目錄。
使用代理轉發或ProxyJump。
在Web服務器的配置中添加特殊規則,阻止對/.ssh/目錄的訪問。
最后,避免.ssh配置文件,證書文件暴露到git公共倉庫(github)等。
