鉴于目前对新的零日漏洞利用针对 OpenSSH 的远程漏洞的猜测,我很想回答几个问题。
- 您采取了哪些措施来降低这种风险?
实施硬入口过滤器?据我了解,至少有一家主要的托管服务提供商已经这样做了。
在更好地了解风险之前禁用服务?您能否快速识别网络中正在运行的版本?
- 您如何验证风险的程度?
内部源代码评估?你有这些技能吗?
最喜欢的安全站点/提要?你如何从谣言中确定事实?
- 您的变更管理系统如何处理这些变更?
有紧急变更的加急流程吗?你能在一天内拉出一个评估并执行一个计划吗?
一些链接:
http://isc.sans.org/diary.html?storyid=6742
http://74.125.95.132/search?q=cache:Y41uUwkWZeEJ:www.webhostingtalk.com/showthread.php%3Fp%3D6270083
我认为最重要的事情是升级你的 OpenSSH 版本。您提到的其他要做的事情是限制那些有权访问 SSH 服务的人;但是,这应该已经是一种已实施的安全实践。
此外,您可以让您的服务器侦听备用端口号(高位),只是为了让端口扫描器更加困难。
这是一个很难回答的问题,因为它完全取决于您的依赖用户需要什么。
等等。抱歉,这是一个模糊的答案,但没有更多要求,这是你能做的最好的。
首先,通过最小化您的可见性来限制潜在风险。换句话说,确保尽可能少的服务是可见的和可公开访问的。您需要一个可供公众访问的 ssh 服务器吗?或者你可以限制你所有的 ssh 访问只能在 VPN 后面使用吗?
通过以必须通过单个(或少数)安全阻塞点的方式限制所有访问,您可以使某人更难到达盒子以利用它。
例如,在我上一份工作中,我负责这种政策和该政策的实施,我们只有一个可以通过互联网访问的盒子。所有其他访问都需要通过 VPN。那个盒子是“备份访问”点,它被 ACL 和防火墙规则严格锁定,因此只能从少数远程主机访问。这让我们可以在 VPN 集中器出现问题时进行远程访问,但仅限于少数关键人员。