/conf/crontab
dlawson이 지적했듯이을 사용 하면 훌륭한 아이디어처럼 들립니다. 이렇게하면 http 및 ssh를 제외한 모든 것을 보장하는 스크립트를 1 분에 한 번 실행할 수 있습니다.
/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop
그래도 암호 기반 액세스 제어 기능이있는 웹 서버 (클라이언트 인증서의 유효성을 검사 할 방법이 없음)와 누가 어떤 원격 취약점을 알고 있는지 알 수 있습니다. 내가 사용하지 않을 때 (대부분의 경우) 끄면 합리적인 해결책처럼 보입니다. crontab 항목을 추가하여 5 분 또는 10 분마다 종료하면 누군가 완료했을 때 종료하는 것을 잊어 버린 경우가 발생합니다.
ssh 데몬은 상당히 많이 수정 된 것으로 보이는 dropbear 버전입니다 . /conf/PMConfig.dat
웹 서버에서도 사용되는 사용자 이름과 일반 텍스트 비밀번호를 읽고 유효한 사용자 이름과 비밀번호를 루트 사용자로 로그인하고 ~/.ssh/authorized_keys
파일을 무시 합니다. 이 마지막 문제는 성가시다. 암호 로그인을 허용하고 이름과 암호를 얻는 위치에 따라 백도어의 가능성을 엽니 다.
이것이 바로 딜레마입니다. 보안에 익숙하지 않은 개발자가 설계 한 시스템에 설치된이 수정 된 ssh 데몬을 얼마나 신뢰하십니까? 쉘 스크립트에서 본 부스러기 부스러기의 수를 감안할 때별로 많지는 않습니다. 비정상적인 명명 규칙 (/etc/rc?.d/sshd는 /etc/init.d/ssh에 대한 심볼릭 링크), 사용되지 않는 것으로 보이는 대량의 코드 및 ssh 시작 스크립트의 기능 (예 : /conf/portcfg_ssh
파일, 심지어 restart
명령이 완전히 끊어집니다. (이를 사용하지 마십시오. sshd는 다시 시작되지 않으며 기존 로그인이 없으면 나사로 고정됩니다. BMC를 재부팅하여 다시 플래시해야했습니다.)
내가 생각할 수있는 가장 좋은 옵션은 cron 작업을 사용하여 대체 포트에서 ssh를 시작하는 것이므로 적어도 포트 캔에 나타날 가능성은 적습니다.
마지막 구성 요소는 IPMI 네트워크 관리 포트입니다. 이것들을 끄는 방법을 볼 수 없습니다.