Como proteger o saslauthd do ataque local de força bruta?

1

Existem inúmeras instruções na internet para usar o saslauthd. Eu tentei executar o serviço. Isso me surpreendeu quando descobri que /run/saslauthd/mux socket e /usr/sbin/testsaslauthd estão disponíveis para usuários não privilegiados. Então, quando você inicia o saslauthd, isso torna seu sistema vulnerável.

Qual é a suposta maneira de restringir a força bruta? Eu tentei google-lo, mas o google mostra apenas coisas SMTP e IMAP, não a vulnerabilidade saslauthd em si.

    
por ayvango 30.09.2016 / 10:09

1 resposta

1

/run/saslauthd/mux socket and /usr/sbin/testsaslauthd are both available for non-privileged users.

Sim, porque normalmente alguns dos serviços que usam o SASL para autenticar também podem ser executados como usuários sem privilégios.

So when you have saslauthd started, it makes your system vulnerable.

Isso é um grande salto.

O serviço saslauthd só pode ser usado por usuários e processos locais, não é um serviço de rede aberto a tentativas de força bruta online. Você realmente não protege tal serviço contra tentativas de força bruta no nível de serviço, assim como você não protege o comando su contra tentativas de força bruta.

Como você já insinua o que você poderia fazer:

  • não conceda acesso aos seus sistemas a usuários que não podem ser confiáveis e simplesmente proteja os serviços reais da rede que acionam o SASL contra ataques de força bruta, por exemplo, bloqueando os criminosos remotos de lá (o fail2ban é um tal implementação)
  • alternativamente, como saslauthd é apenas um gateway para o backend de autenticação real, registre tentativas de login com falha no nível da conta e (temporariamente) bloqueie a conta após várias tentativas de login com falha nessa conta específica.
por 30.09.2016 / 11:36