|
В OpenSSH версии старше 2.3.1 и вплоть до 3.3 обнаружена уязвимость, позволяющая злоумышленнику получить удаленно привелегии суперпользователя. Апдейтов для FreeBSD еще нет (OpenSSH в RedHat в настройках по умолчанию не подвержен проблеме), поэтому срочно прикрывайте 22 порт фаерволом или устанавливайте OpenSSH 3.4p1 (кроме данной проблемы там исправлено ряд потенциальных уязвимостей), так же рекомендую включить после установки опцию "UsePrivilegeSeparation yes" (появилась в версии 3.2).
Эксплоитов, использующих переполнения в обработчике "challenge-response" аутентификации (протокол SSH2), пока не видно, что хоть немного, но радует.
Если возможности для срочного апгрейда нет, то для предотвращения проблемы нужно убедиться в отсутствии challenge-response аутентификации и PAMAuthenticationViaKbdInt (использовать опцию "ChallengeResponseAuthentication no" и "PAMAuthenticationViaKbdInt no" в sshd_config).
Общие рекомендации для увеличения безопасности OpenSSH:
В /etc/ssh/sshd_config:
AllowUsers user1 user2 [email protected]
ChallengeResponseAuthentication no
PermitEmptyPasswords no
PermitRootLogin no
Protocol 2
UseLogin no
X11Forwarding no
PAMAuthenticationViaKbdInt no
UsePrivilegeSeparation yes
# убрать все Subsystem
Ограничить вход только с определенных IP через фаервол или /etc/hosts.allow.
| 
