电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 增强 GPFS 中 SSH 配置的安全性-窃取SSH秘钥 [打印本页]

作者: look_w 时间: 2018-1-8 10:22 标题: 增强 GPFS 中 SSH 配置的安全性-窃取SSH秘钥

场景 2：使用窃取的 root 用户 SSH 加密密钥为了使 GPFS 能够使用 SSH 在节点之间执行自动化管理任务，需要创建加密密钥，并在节点之间交换密钥。但是，在 GPFS             安装中，所创建的这些加密密钥通常没有口令，这使得自动化凌驾于安全性之上。
以前拥有 GPFS 节点 root 用户访问权限的个人可以复制一份 root 用户的加密密钥副本，并进一步利用它们来获得未经授权的 root             用户访问。
由于加密密钥不会像密码那样频繁地更改，所以这里的固有风险是：即使已经更改了 root 用户密码，持有密钥的用户仍然能够继续访问节点。
加密密钥通常位于密钥所属用户的 home 目录下的 .ssh 子目录中。在用户是 root             用户的情况下，它们可能位于 /root/.ssh 文件夹中。默认情况下，用于创建密钥的             ssh-keygen 命令会使用 Rivest-Shamir-Adleman (RSA) 算法。然后，可以制作             id_rsa 和 id_rsa.pub 文件（分别包含私钥和公钥）的副本供进一步使用。
在复制密钥后，可以使用 root 用户私钥从用户的计算机登录到服务器。
清单 5. 使用窃取的                   root 用户 SSH 加密密钥连接到节点             A

1
2
3
4
5
6
7
8

$ eval `ssh-agent`
Agent pid 22047
$ ssh-add gpfsnodea_id_rsa
Identity added: gpfsnodea_id_rsa (gpfsnodea_id_rsa)
$ ssh -l root 172.19.230.35
Last login:Thu Aug 15 13:27:35 2013 from gpfsnodeb
=== Welcome to GPFS Node A
#

清单 6. 使用窃取的 root 用户 SSH 加密密钥连接到节点 B

1
2
3
4
5
6
7
8

$ eval `ssh-agent`
Agent pid 24040
$ ssh-add gpfsnodeb_id_rsa
Identity added: gpfsnodeb_id_rsa (gpfsnodeb_id_rsa)
$ ssh -l root 172.19.230.36
Last login:Thu Aug 15 13:30:12 2013 from gpfsnodea
=== Welcome to GPFS Node B
#

可以看出，通过使用窃取的 root 用户 SSH 加密密钥，在访问节点时甚至不需要密码。SSH 加密密钥在节点间的交换定义信任关系。因此，即使 root 用户密码被更改，不管 root 用户密码是什么，仍然可以继续建立连接。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)