web-dev-qa-db-ja.com

saslauthdをローカルブルートフォース攻撃から保護する方法は?

Saslauthdを使用するためのインターネット上の多くの指示があります。サービスを実行しようとしました。 /run/saslauthd/muxソケットと/usr/sbin/testsaslauthdの両方が非特権ユーザーに利用可能であることを発見したとき、私は驚きました。したがって、saslauthdを開始すると、システムが脆弱になります。

ブルートフォースを制限するための想定される方法は何ですか?私はそれをグーグルしようとしましたが、グーグルはSMTPとIMAPのものだけを表示し、saslauthdの脆弱性自体は表示しません。

1
ayvango

/run/saslauthd/muxソケットと/usr/sbin/testsaslauthdはどちらも非特権ユーザーが利用できます。

はい。通常、SASLを使用して認証を行う一部のサービスは、非特権ユーザーとしても実行できるためです。

したがって、saslauthdを開始すると、システムが脆弱になります。

それはかなりの飛躍です。

Saslauthdサービスは、ローカルユーザーとプロセスのみが使用でき、オンラインブルートフォース攻撃に対してオープンなネットワークサービスではありません。 suコマンドをブルートフォース攻撃に対して保護しないのと同じように、サービスレベルでのブルートフォース攻撃に対してそのようなサービスを実際に保護することはありません。

あなたがすでにあなたができることをほのめかしているように:

  • 信頼できないユーザーにシステムへのアクセスを許可せず、たとえばリモート犯罪者をブロックすることにより、SASLを呼び出す実際のネットワークサービスをブルートフォース攻撃から保護します(fail2banはそのような実装の1つです)
  • または、saslauthdは実際の認証バックエンドへのゲートウェイにすぎないため、失敗したログイン試行をアカウントレベルでログに記録し、その特定のアカウントで何度もログイン試行に失敗した後、(一時的に)アカウントをロックします。
1
HBruijn