偽のSSHサーバーには、セキュリティ面で何らかの目的がありますか?
私はこれに偶然遭遇しました sshesame ソフトウェアは、ユーザー名/パスワードを受け入れるSSHサーバーを模倣しているように見えます。後続のシェルコマンドを実行するのではなく、ファイルに記録します。
私が理解できないことは、このツールが(教育以外に)どのように使用できるかです。そのため、SSHログイン試行が成功したためにサーバーに不要な注意を向けるだけであり、他のポートが攻撃されるのを防ぎません(実際のSSHを含む)ので、状況を悪化させるだけです。
見落としましたか?
このような偽のSSHサーバーを使用する理由は複数あります。それらは以下を含みます:
- 攻撃を受けているかどうかを判断する
- 推測されたユーザーとパスワードを知る(攻撃者が持っている情報を表示できる)
- 攻撃者の関心のある行動を確認する
- サーバーの悪用の試みを確認する(0daysまたはバックドアを開示する可能性があります)
- 攻撃者がシステムに接近しようとする方法などを調査する。
- 開発中の監査/テスト/攻撃ツールを含むクライアントソフトウェアのテスト(thanks Mołot )
サーバーに何か価値のあるものがある場合は、システムに偽のSSHサーバーを設置しないことを検討してください。偽のサーバーも脆弱性になりやすい可能性があるため-1つの閉じたポートよりも優れています1つのオープンサービス。
それはハニーポット/研究として使用され、ほとんどの使用されたパスワード試行などを収集できます。
そうでなければ、私はあなたの評価に同意します、それは魅力的な迷惑です。
実際の保護メカニズムを探している場合は、「Fail2Ban」をお勧めします。
このようなオープンで偽のsshサーバーの良い使い方は、ハニーポットとして企業のLANに設定することです。 SIEMへのsyslog転送を設定する魅力的な(ただし、明らかに偽物ではない)ホスト名を設定し、誰かがそれに接続しているかどうか、およびユーザーが何をしようとしているかを確認します。正当な人は誰もその中でぶらぶらしてはなりません(ハントチームまたは赤いチームの運用が進行中でない限り)。