Windows-Server-2003

在 windows 2003 域控制器上執行 cygwin sshd 有多安全

  • May 22, 2011

我已經在 Windows 2003 DC 上多次安裝了 cygwin(執行 sshd)。

但現在另一位實際負責該域的管理員問我這是否真的安全。

**編輯::**我更改了問題以使其更適合接受的答案。我已將我最初想到的問題的另一部分移至新執行緒,請點擊此處。

通常,您希望避免在伺服器上安裝過多的服務。鑑於 Active Directory 域控制器電腦的敏感工作(儲存使用者憑據和執行身份驗證),您應該比文件伺服器更關心它們。

話雖如此,但沒有安裝軟體的伺服器電腦將毫無用處。您需要進行風險評估,將其與軟體提供的好處進行權衡,並在此基礎上做出決定。對於您公開的每項服務,您需要完成該一般流程(即使它只是您“在腦海中”而不是正式流程所做的事情)。在沒有權衡風險的情況下肆意公開服務(或者更糟糕的是,在沒有好處的情況下公開服務——認為 Windows 2000 Server 中的預設 IIS 安裝)是一個壞主意。

要回答您的特定查詢:

鑑於 OpenSSH 提供的服務的性質,它已經受到社區的大量審查。不幸的是,要允許sshd模擬使用者,您將不得不使用相當特權的憑據(在大多數情況下為 SYSTEM)執行它,因此守護程序本身的錯誤可能會導致遠端 SYSTEM 級別的妥協。誠然,我認為在 OpenSSH 中這種妥協的可能性相當低,但它仍然是可能的。

您應該對入站連接嘗試進行某種速率限制(以防止 DOS 攻擊——我個人喜歡sshd_block)。您應該認真考慮只允許基於證書的登錄(而不是密碼)。您應該將可以通過 SSH 訪問伺服器的使用者數量限制為只有需要訪問的使用者。如果您不需要這些功能,您應該禁用埠轉發和/或 SFTP。

我的感受總結如下:想想你在做什麼,在設置時做你的“功課”,你會沒事的。

引用自:https://serverfault.com/questions/270652