做网站钱,wordpress多文件传递变量,长宁建设机械网站,高防服务器服务一、SSH
1、定义 SSH是安全的加密协议#xff0c;用于远程连接linux服务器。
2、ssh服务的主要功能#xff1a; 1#xff09;提供远程链接服务器的功能#xff1b; 2#xff09;对远程链接传输的数据进行加密
3、ssh与telnet的区别#xff1a; 服务链接方式 服务数据…一、SSH
1、定义 SSH是安全的加密协议用于远程连接linux服务器。
2、ssh服务的主要功能 1提供远程链接服务器的功能 2对远程链接传输的数据进行加密
3、ssh与telnet的区别 服务链接方式 服务数据传输 服务监听端口 服务登录用户 ssh 加密 22 默认支持root用户登录 telnet 明文 23 不支持root用户登录 4、SSH工作机制 SSH工作机制大致是本地的SSH客户端先发送一个连接请求到远程的SSH服务端服务端检查连接的客户端发送的数据包和IP地址如果确认合法就会发送密钥给SSH的客户端。此时客户端本地再将密钥发回给服务端自此连接建立。类似TCP三次握手 1连接建立 SSH服务在指定的端口默认22侦听客户端的连接请求在客户端向服务器发起连接请求后双方建立一个TCP链接 2版本协商 SSH协议目前存在SSH1.XSSH2.0之前的版本和SSH2.0版本。SSH2.0协议相比SSH1.X协议来说在结构上做了扩展可以支持更多的认证方法和密钥交换方法同时提高了服务能力。SSH服务器和客户端通过协商确定最终使用的SSH版本号。 3算法协商 SSH支持多种加密算法双方根据各自支持的算法协商出最终用于产生会话密钥的密钥交换算法、用户数据信息加密的加密算法、用于进行数字签名和认证的公钥算法以及用于数据完整性保护的HMAC算法。 4密钥交换 服务器和客户端通过密钥交换算法动态生成共享的会话密钥和会话ID建议加密通道。会话密钥主要用于后续数据传输的加密会话ID用于在认证过程中标识该SSH连接。 5用户认证 SSH认证方式
①密码认证客户端通过用户名和密码的方式进行认证将加密后的用户名和密码发送给服务器服务器解密后与本地保存的用户名和密码进行对比并向客户端返回认证成功或失败的消息。
②密钥认证客户端通过用户名、公钥以及公钥算法等信息来与服务器进行认证。 ③password-publickey认证指用户需要同时满足密码认证和密钥认证才能登录。 ④all认证只要满足密码认证和密钥认证其中一种即可。 6会话请求 认证通过后SSH客户端向服务器端发送会话请求请求服务器提供某种类型的服务即请求与服务器建立相应的会话。 7会话交互 会话建立后SSH服务器和客户端在该会话上进行数据信息的交互。
5、ssh服务 SSH服务端是一个守护进程daemon它在后台运行并响应来自客户端的连接请求。SSH服务端的进程名位sshd负责实时监听远程SSH客户端的远程连接请求并进行处理一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接等。 SSH服务端主要包括两个服务功能SSH远程连接和SFTP服务。
6、ssh客户端命令 ssh客户端包含ssh|slogin远程登录、scp远程拷贝、sftp文件传输、ssh-copy-di密钥分发等应用程序。 1SSH远程登录服务器命令示例 2SCP复制数据至远程主机命令全量复制 3SFTP 该命令用于在Linux系统中进行安全文件传输的工具。它使用SSH协议进行加密传输使用户能够在本地计算机和远程服务器之间传输文件。以下是SFTP命令的一些常用功能
①上传文件put 用户可以使用sftp命令将本地计算机上的文件上传到远程服务器。
②下载文件get 用户可以使用sftp命令从远程服务器下载文件到本地计算机。
③浏览远程文件系统pwd 用户可以使用sftp命令浏览远程服务器上的文件和目录结构。
④创建和删除目录mkdir、rm 用户可以使用sftp命令在远程服务器上创建和删除目录。
⑤修改文件权限chgrp、chmod、chown 用户可以使用sftp命令修改远程服务器上文件的权限。
⑥列出文件和目录lls 用户可以使用sftp命令列出远程服务器上的文件和目录。
令列出远程服务器上的文件和目录。 7、SSH安全优化 SSH作为远程连接服务通常我们需要考虑到该服务的安全所以需要对该服务进行安全方面的配置 1更改远程连接登录的端口 2禁止ROOT用户直接登录 3密码认证的方式改为密钥认证 4重要服务不使用公网IP 5使用防火墙限制来源IP
二、SSH相关安全检测规则开发思路分析
1、攻击场景 SSH是一种协议允许授权用户打开其他计算机上的远程Shell在Linux和macOS版本默认情况下都安装了SSH而且通常SSH不限制登录用户的数量所以攻击者在潜入主机后为了达到权限维持的目的可能会在主机上设置SSH后门。 攻击者可以利用敏感函数来修改 SSH 相关的二进制文件以实现持久性的目的。
2、需求拆分 ssh相关二进制文件/usr/sbin/sshd、/usr/bin/ssh、/usr/bin/sftp、/usr/bin/scp 文件操作类型create
3、检测规则思路 数据源终端告警日志 命中逻辑 文件操作类型创建二进制文件 or 文件路径 包含忽略大小写/usr/sbin/sshd 文件路径 包含忽略大小写/usr/bin/ssh 文件路径 包含忽略大小写/usr/bin/sftp 文件路径 包含忽略大小写/usr/bin/scp检测时间10min归并分组受害者IP统计次数count 1 4、研判分析 根据告警信息发现被更改的SSH二进制文件并及时联系数据源IP主机责任人确认是否为授权修改若不是则判定为可疑事件 根据告警信息获取进行修改文件的UID等账户信息并查看该用户是否存在其他敏感操作若出现判定为可疑事件。
5、应急响应 更改远程连接登录的端口 禁止ROOT用户直接登录 密码认证的方式改为密钥认证 重要服务不使用公网IP 使用防火墙限制来源IP
