Professional Documents
Culture Documents
Các Con Đư NG Khai Thác RCE Qua Giao TH C SSH
Các Con Đư NG Khai Thác RCE Qua Giao TH C SSH
Sử dụng khóa
Brute Force SSH đã bị
chiếm đoạt
SSH
Thông qua
Zero-Day
máy chủ
Khuyến nghị khắc phục
Tăng cường bảo mật SSH: Cấu hình lại máy chủ SSH để tăng cường bảo mật, bao gồm việc sử dụng khóa
SSH thay vì mật khẩu, giới hạn quyền truy cập và sử dụng cơ chế bảo mật như TOTP (Time-based One-Time
Password) hoặc MFA (Multi-Factor Authentication).
Tạo cặp khóa SSH trên máy tính của người dùng:
ssh-keygen -t rsa -b 4096
Lệnh này tạo ra một cặp khóa SSH RSA với độ dài 4096 bit.
Sao chép khóa công khai (public key) đến máy chủ SSH:
ssh-copy-id user@hostname
2. Giới hạn quyền truy cập
Mở tệp cấu hình SSH để chỉnh sửa:sudo nano /etc/ssh/sshd_config
Sử dụng các tùy chọn AllowUsers, AllowGroups, DenyUsers, DenyGroups để chỉ
định người dùng hoặc nhóm được phép hoặc bị từ chối truy cập vào máy chủ SSH.
• AllowUsers: Xác định danh sách các người dùng được phép truy cập vào máy chủ SSH. Chỉ các
người dùng được liệt kê trong danh sách này mới có thể đăng nhập qua SSH.
• AllowGroups: Xác định danh sách các nhóm người dùng được phép truy cập vào máy chủ SSH.
Chỉ các người dùng thuộc các nhóm được liệt kê trong danh sách này mới có thể đăng nhập qua
SSH.
• DenyUsers: Xác định danh sách các người dùng bị từ chối truy cập vào máy chủ SSH. Các người
dùng được liệt kê trong danh sách này sẽ không thể đăng nhập qua SSH.
• DenyGroups: Xác định danh sách các nhóm người dùng bị từ chối truy cập vào máy chủ SSH. Các
người dùng thuộc các nhóm được liệt kê trong danh sách này sẽ không thể đăng nhập qua SSH.
3.Sử dụng cơ chế bảo mật như TOTP hoặc MFA
Cài đặt và cấu hình một phần mềm TOTP như Google Authenticator hoặc Authy trên máy chủ
và máy tính của người dùng theo hướng dẫn của nhà cung cấp.
Mở tệp cấu hình SSH để chỉnh sửa:
sudo nano /etc/ssh/sshd_config
Bật và cấu hình việc sử dụng MFA hoặc TOTP cho đăng nhập SSH bằng cách thêm các dòng
sau vào tệp cấu hình:
AuthenticationMethods publickey,keyboard-interactive
Các con đường khai thác truy cập trái phép thông qua
giao thức FTP
Khai thác qua Man-in-the-
CVE Middle
Brute Force
Thông qua tệp
FTP và thư mục
Zero-Day
Khuyến nghị khắc phục
Đảm bảo rằng máy chủ đã cài đặt vsftpd. Nếu chưa, có thể cài đặt nó thông qua trình quản lý
gói của hệ thống:
sudo apt update
sudo apt install vsftpd
Tạo cặp chứng chỉ SSL/TLS: (certificates) để sử dụng cho FTPS. Sử dụng openssl để tạo
chúng:
sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key -out
/etc/ssl/certs/vsftpd.crt -days 365
chứng chỉ SSL/TLS sẽ được lưu tại /etc/ssl/certs/vsftpd.crt (chứng chỉ công khai) và
/etc/ssl/private/vsftpd.key (khóa riêng tư).
Mở và chỉnh sửa tệp cấu hình của vsftpd, thường là /etc/vsftpd.conf, với quyền quản trị:
sudo nano /etc/vsftpd.conf
Trong tệp cấu hình, cần bật hỗ trợ SSL/TLS bằng cách thêm hoặc chỉnh sửa các dòng sau:
typescript
ssl_enable=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key
Mở cổng trong tường lửa:
Nếu máy chủ đang chạy tường lửa, hãy chắc chắn rằng cổng FTPS đã được mở. Ví dụ, sử dụng UFW
(Uncomplicated Firewall), mở cổng 990 (implicit SSL) và/hoặc 21 (explicit SSL) như sau:
sudo ufw allow 990/tcp
sudo ufw allow 21/tcp