Sử dụng /conf/crontab
, như dlawson chỉ ra, nghe có vẻ là một ý tưởng tuyệt vời đối với tôi. Điều này cho phép tôi chạy tập lệnh một lần một phút để đảm bảo mọi thứ trừ http và ssh bị tắt:
/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop
Điều đó vẫn để lại cho tôi một máy chủ web có kiểm soát truy cập dựa trên mật khẩu (tôi có thể thấy không có cách nào để xác thực chứng chỉ ứng dụng khách) và ai biết lỗ hổng từ xa là gì. Tắt nó đi khi tôi không sử dụng nó (phần lớn thời gian) có vẻ như là một giải pháp hợp lý; thêm một mục crontab để tắt nó cứ sau năm hoặc mười phút sẽ bắt được những trường hợp mà ai đó quên tắt nó khi anh ta hoàn thành.
Trình nền ssh là một phiên bản của dropbear dường như được sửa đổi khá nhiều. Nó đọc tên người dùng và mật khẩu văn bản gốc từ /conf/PMConfig.dat
(cũng được sử dụng bởi máy chủ web), đăng nhập bất kỳ tên và mật khẩu hợp lệ nào với tư cách là người dùng root và bỏ qua ~/.ssh/authorized_keys
tệp. Vấn đề cuối cùng này là gây phiền nhiễu; nó buộc bạn phải cho phép đăng nhập mật khẩu và mở khả năng backtime tùy thuộc vào nơi - tất cả những gì nó nhận được tên và mật khẩu của nó.
Vì vậy, đó là vấn đề nan giải mà bạn phải đối mặt: bạn thực sự tin tưởng bao nhiêu semon daemon đã sửa đổi này được cài đặt trên một hệ thống được thiết kế khá rõ ràng bởi các nhà phát triển chưa được bảo mật? Không có gì nhiều, với số lượng bit bị hỏng của cruft tôi đã thấy trong các tập lệnh shell của họ. Có các quy ước đặt tên bất thường (/etc/rc?.d/sshd là một liên kết tượng trưng đến /etc/init.d/ssh), một lượng lớn mã dường như không được sử dụng và chỉ có trong tập lệnh khởi động ssh, chẳng hạn như các /conf/portcfg_ssh
tập tin và thậm chí các restart
lệnh hoàn toàn bị hỏng. (Đừng thử sử dụng những thứ này; sshd sẽ không khởi động lại và bạn sẽ bị lừa trừ khi bạn có thông tin đăng nhập hiện có. Chúng tôi đã khởi động lại BMC và cuối cùng phải làm lại nó.)
Tùy chọn tốt nhất mà tôi có thể nghĩ đến, nếu ai đó sẽ sử dụng thứ đó, là bắt đầu ssh trên một cổng thay thế bằng cách sử dụng công việc định kỳ, vì vậy ít nhất nó sẽ ít xuất hiện trong một portscan.
Thành phần cuối cùng là các cổng quản lý mạng IPMI; Tôi không thể thấy cách tắt chúng đi.