Security 如何保护默认的ApacheKaraf安装

在Christian Schneider的博客文章之后，我检查了我的默认Karaf安装（4.0.5）是否不安全：

检查karaf安装是否打开的一些简单步骤

• 检查属性sshPort的“etc/org.apache.karaf.shell.cfg”。请注意此端口号。默认值为8101
• 执行“ssh-p8101”karaf@localhost". 正如预期的那样，它将要求输入密码。如果不更改默认密码，这也可能是危险的，但这是显而易见的
• 现在只需执行bin/client-a8101。您将获得一个无需提供密码的shell。如果这样做有效，则服务器易受攻击

正如所料。它是脆弱的。因此，我尝试按照说明对其进行保护：

如何保护您的服务器

• 只需在“etc/keys.properties”中删除karaf用户的公钥。不幸的是，这将停止bin/client命令的工作
• 还要确保在“etc/users.properties”中更改karaf用户的密码

我使用

halt

命令关闭了Karaf服务器。然后我在

etc/users.properties

中更改了karaf密码，并删除了文件

etc/keys.properties

。然后我用

bin/karaf

再次启动了服务器。然后在一个新的终端中，我通过尝试ssh连接到服务器来测试安装是否安全。我验证了ssh登录现在需要新配置的密码。最后，我尝试使用

bin/client-a8101

命令

此时，正如在博客文章中所解释的，我预计命令会失败：

不幸的是，这将停止bin/client命令的工作

在运行

bin/client-a8101

之后，我注意到有一个新文件

etc/host.key

是

bin/client

或容器本身自动生成的。命令没有失败，而是成功了，我看到了Karaf控制台

<> P>强，这意味着容器对这个攻击向量还是脆弱的？< /强>

< P> <强> NO./St>>/P>

修改在OP中描述的（更改代码中的默认密码等）/用户。属性< /代码>删除代码> ET/KEY。属性< /代码>将容器从特定的攻击向量中固定。

根据Karaf对该堆栈溢出问题的讨论：

默认情况下，

bin/client

尝试（按此顺序）使用：

etc/keys.properties

etc/users.properties

karaf/karaf

-u

提示输入密码

bin/client

是一个SSH客户端（用Java编写）。

host.key

与SSH的文件相同，并且包含受信任的主机（您还有

.sshkaraf/known_hosts

）

OP中引用的博客部分已经过时：

不幸的是，这将停止bin/client命令的工作

否。

修改在OP中描述的（更改代码中的默认密码等）/用户。属性< /代码>删除代码> ET/KEY。属性< /代码>将容器从特定的攻击向量中固定。

根据Karaf对该堆栈溢出问题的讨论：

默认情况下，

bin/client

尝试（按此顺序）使用：

etc/keys.properties

etc/users.properties

karaf/karaf

-u

提示输入密码

bin/client

是一个SSH客户端（用Java编写）。

host.key

与SSH的文件相同，并且包含受信任的主机（您还有

.sshkaraf/known_hosts

）

OP中引用的博客部分已经过时：

不幸的是，这将停止bin/client命令的工作

---

我注意到有人投了反对票，投票结束了这个问题。请在评论中解释否决票的目的。不是否决你的人，而是我想你想问：“如何确保。。。不是如何破解…？最好在Karaf邮件列表上提问，我相信你会在那里得到更详细的答案…我注意到一个反对票和一个结束这个问题的投票。请在评论中解释否决投票的目的。不是否决你的人，但我认为你的意思是问：“如何确保……而不是如何黑客……？最好在Karaf邮件列表上提问，我相信你会得到更详细的答案。。。