블로그 이미지
Twitter : @parkkopil 박코필

카테고리

분류 전체보기 (68)
Common Criteria (4)
WEB (3)
Server (12)
보안 솔루션 (6)
Reversing (5)
암호학 (0)
시스템 (3)
Network (3)
스토리지 (0)
컨설팅 (1)
자격증 (4)
뉴스 (5)
Q & A (5)
잡동사니 (4)
Hack (0)
작업 (1)
c# (7)
야구 -그리핀스 (2)
Android (1)
Total77,711
Today12
Yesterday21

달력

« » 2018.10
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

공지사항

태그목록

SSH와 PAM (pam_SSH)

Server / 2009.12.01 10:04


HP-UX 11.3i는 PAM을 이용한 인증을 지원해준다.
하지만...  Nessus4로 스캔을 해보면.... 아래와 같은 취약점이 발견 된다.


I discovered that a brute force scanner could easily detect existing users by checking the ssh service if pam was compiled with USE=ssh. When you try to connect to ssh on a pam[+ssh] enabled server, the ssh client will show just "Password:" as prompt for non-existing users while it displays "SSH passphrase:" for existing users. Not sure if this should be fixed in pam or ssh. Probably in pam, as a local login prompt shows the same behaviour. Reproducible: Always Steps to Reproduce: 1. Compile pam with USE="ssh" 2. Merge configs and restart sshd 3. Try to login with bad username via ssh Actual Results: Prompt "Password" is shown instead of "SSH passphrase" which would be shown if the user existed. Expected Results: Make no difference in prompt - whether the user exists or not. Otherwise this behaviour may be exploitable to support brute force/dictionary attacks. This behaviour enables attackers to verify the existence of users which usually services try to hide from remote connections (e.g. proftpd with mod_delay, sshd still asks for a password independent of user existence, etc). It should be fixed.

내용은 계정의 유무에 따라 프롬프트가 "Password"와 "SSH passphrase"로 다르게 나와 user의 존재여부를 확인할 수 있다는 것... 더 자세한 내용은 .. 자신의 몫...



이것저것 다 해보다가... 업무와 시간의 부족으로 이렇게 대처 함.
------------------------------------------------------------------------------------------------------
/opt/ssh/etc/sshd_config에 UsePAM 구성 지시어를 YES ->NO 로 변경하면
SSH는 Client로부터 연결 요청이 오면 PAM을 이용하여 인증을 처리 하지 않고  getpwnam()을 
이용하여 인증을 처리한다고 한다. 조치 후 Nessus로 스캔하면 pam_SSH 관련 취약점을 발견 
되지 않는다.


아래는 첨부문서의 관련 내용이다.
p.81
암호 인증 방법은 단일 사용자 ID 및 암호 기반 로그인을 사용합니다. 이 로그인은 /etc/passwd
에 지정된 사용자 로그인을 기반으로 하거나 PAM 기반일 수 있습니다.
HP-UX Secure Shell은 서버 시스템에서 사용할 수 있는 PAM 모듈과 완전히 통합됩니다. 이 목
적을 위해 /opt/ssh/etc/sshd_config 파일에는 UsePAM 구성 지시어가 있습니다. YES로
설정하면 클라이언트에서 암호 인증 요청이 있을 때마다 sshd는 PAM 구성 파일(/etc/
pam.conf)을 확인합니다. 그런 다음 구성된 PAM 모듈을 통해 암호 인증이 성공할 때까지 순
서대로 수행됩니다. PAM 인증에 대한 자세한 내용은 pam.conf(4)를 참조하십시오.
PAM 인증을 무시하려면 UsePAM 지시어를 NO로 설정합니다. 그러면 클라이언트에서 암호 인
증 요청이 있을 때마다 sshd가 서버의 PAM 구성 설정을 무시합니다. 대신 sshd는 getpwnam()
라이브러리 호출을 직접 호출하여 사용자 암호 정보를 가져옵니다.
HP-UX Secure Shell은 PAM_UNIX, PAM_LDAP 및 PAM_KERBEROS를 사용하여 테스트되었습니
다. 또한 PAM_DCE 및 PAM_NTLM과 같은 다른 PAM 모듈에서 작동합니다.

'Server' 카테고리의 다른 글

Oracle Tablespace 관련  (0) 2009.12.15
오라클 설치 문서  (0) 2009.12.10
SSH와 PAM (pam_SSH)  (0) 2009.12.01
Unix histroy 기능 사용 방법  (0) 2009.11.26
IBM-AIX Time Zone 설정  (0) 2009.11.18
IBM-AIX 상세 명령어.--> IBM Homepage  (0) 2009.11.09
Posted by 박코필

티스토리 툴바