saslauthdをローカルブルートフォース攻撃から保護する方法は?
Saslauthdを使用するためのインターネット上の多くの指示があります。サービスを実行しようとしました。 /run/saslauthd/muxソケットと/usr/sbin/testsaslauthdの両方が非特権ユーザーに利用可能であることを発見したとき、私は驚きました。したがって、saslauthdを開始すると、システムが脆弱になります。
ブルートフォースを制限するための想定される方法は何ですか?私はそれをグーグルしようとしましたが、グーグルはSMTPとIMAPのものだけを表示し、saslauthdの脆弱性自体は表示しません。
/run/saslauthd/muxソケットと/usr/sbin/testsaslauthdはどちらも非特権ユーザーが利用できます。
はい。通常、SASLを使用して認証を行う一部のサービスは、非特権ユーザーとしても実行できるためです。
したがって、saslauthdを開始すると、システムが脆弱になります。
それはかなりの飛躍です。
Saslauthdサービスは、ローカルユーザーとプロセスのみが使用でき、オンラインブルートフォース攻撃に対してオープンなネットワークサービスではありません。 suコマンドをブルートフォース攻撃に対して保護しないのと同じように、サービスレベルでのブルートフォース攻撃に対してそのようなサービスを実際に保護することはありません。
あなたがすでにあなたができることをほのめかしているように:
- 信頼できないユーザーにシステムへのアクセスを許可せず、たとえばリモート犯罪者をブロックすることにより、SASLを呼び出す実際のネットワークサービスをブルートフォース攻撃から保護します(fail2banはそのような実装の1つです)
- または、saslauthdは実際の認証バックエンドへのゲートウェイにすぎないため、失敗したログイン試行をアカウントレベルでログに記録し、その特定のアカウントで何度もログイン試行に失敗した後、(一時的に)アカウントをロックします。