SSH/X11 취약점과 대책

Security Notice

SSH/X11 취약점과 대책

설명

  • SSH(Secure Shell) 서버의 외부 .Xauthority 파일을 사용할 수 있는 일반 사용자들은 SSH 클라이언트의 X 서버를 사용할 수 있고 SSH 세션이 있는 클라이언트는 다양한 공격을 받을수 있다.
  • 방화벽 환경에서 불안정한 프로토콜은 네트웍을 통과할수 없고, 보호된 네트웍 환경에 들어갈 수 없다.
  • 하지만 SSH는 TCP 접속을 중계할수 있고 특히 X11 트래픽은 디폴트로 중계된다.
  • 만약, SSH 접속에 제대로 보안구성이 안되어있으면, 불안정한 프로토콜들이 들어올수있게 된다.

해결책

  • 클라이언트 측(운영자):
    SSH 클라이언트를 --disable_client_x11_forwarding으로 설정하라.
    /etc/ssh_config내의 ForwardX11을 no로 설정하라.
    특권 포트의 연결은 22번 포트로 접속하도록 패킷 필터를 설정하라.
  • 클라이언트 측(사용자):
    ~/.ssh/config내의 ForwardX11을 no로 설정하라.
    ssh를 사용할 때 -x 옵션을 사용하라.
  • 서버측(운영자):
    SSH 서버를 --disable_client_x11_forwarding으로 설정하라.
    /etc/ssh_config내의 X11Forwarding 을 no로 설정하라.
0 변경된 사항