Как защитить saslauthd от локальной атаки?
В интернете есть множество инструкций по использованию saslauthd. Я пытался запустить службу. Это удивило меня, когда я обнаружил, что /run/saslauthd/mux гнездо и /usr/sbin/testsaslauthd оба доступны для непривилегированных пользователей. Поэтому, когда вы запустили saslauthd, это делает вашу систему уязвимой.
Каков предполагаемый способ ограничения грубой силы? Я пытался гуглить, но гугл показывает только SMTP и IMAP, а не саму уязвимость saslauthd.
1 ответ
/run/saslauthd/muxгнездо и/usr/sbin/testsaslauthdоба доступны для непривилегированных пользователей.
Да, потому что обычно некоторые службы, использующие SASL для проверки подлинности, также могут работать как непривилегированные пользователи.
Поэтому, когда вы запустили saslauthd, это делает вашу систему уязвимой.
Это довольно скачок.
Сервис saslauthd может использоваться только локальными пользователями и процессами, он не является сетевым сервисом, открытым для попыток перебора в сети. Вы на самом деле не защищаете такую службу от попыток перебора на уровне службы, так же как вы не защищаете su командовать против попыток грубой силы.
Как вы уже намекаете на то, что вы могли бы сделать:
- не предоставляйте доступ к вашим системам пользователям, которым нельзя доверять, а просто защищайте действующие сетевые службы, которые обращаются к SASL, например, от атак методом перебора, блокируя удаленных нарушителей (одна из таких реализаций - fail2ban)
- в качестве альтернативы, поскольку saslauthd является только шлюзом для фактического бэкэнда аутентификации, регистрируйте неудачные попытки входа в систему на уровне учетной записи и (временно) блокируют учетную запись после нескольких неудачных попыток входа в систему для этой конкретной учетной записи.