Security 如何保护默认的ApacheKaraf安装
在Christian Schneider的博客文章之后,我检查了我的默认Karaf安装(4.0.5)是否不安全: 检查karaf安装是否打开的一些简单步骤Security 如何保护默认的ApacheKaraf安装,security,ssh-keys,apache-karaf,Security,Ssh Keys,Apache Karaf,在Christian Schneider的博客文章之后,我检查了我的默认Karaf安装(4.0.5)是否不安全: 检查karaf安装是否打开的一些简单步骤 检查属性sshPort的“etc/org.apache.karaf.shell.cfg”。请注意此端口号。默认值为8101 执行“ssh-p8101”karaf@localhost". 正如预期的那样,它将要求输入密码。如果不更改默认密码,这也可能是危险的,但这是显而易见的 现在只需执行bin/client-a8101。您将获得一个无需提供
- 检查属性sshPort的“etc/org.apache.karaf.shell.cfg”。请注意此端口号。默认值为8101
- 执行“ssh-p8101”karaf@localhost". 正如预期的那样,它将要求输入密码。如果不更改默认密码,这也可能是危险的,但这是显而易见的
- 现在只需执行bin/client-a8101。您将获得一个无需提供密码的shell。如果这样做有效,则服务器易受攻击
- 只需在“etc/keys.properties”中删除karaf用户的公钥。不幸的是,这将停止bin/client命令的工作
- 还要确保在“etc/users.properties”中更改karaf用户的密码
halt
命令关闭了Karaf服务器。然后我在etc/users.properties
中更改了karaf密码,并删除了文件etc/keys.properties
。然后我用bin/karaf
再次启动了服务器。然后在一个新的终端中,我通过尝试ssh连接到服务器来测试安装是否安全。我验证了ssh登录现在需要新配置的密码。最后,我尝试使用bin/client-a8101
命令
此时,正如在博客文章中所解释的,我预计命令会失败:
不幸的是,这将停止bin/client命令的工作
在运行bin/client-a8101
之后,我注意到有一个新文件etc/host.key
是bin/client
或容器本身自动生成的。命令没有失败,而是成功了,我看到了Karaf控制台
<> P>强,这意味着容器对这个攻击向量还是脆弱的?< /强> < P> <强> NO./St>>/P>
修改在OP中描述的(更改代码中的默认密码等)/用户。属性< /代码>删除代码> ET/KEY。属性< /代码>将容器从特定的攻击向量中固定。
根据Karaf对该堆栈溢出问题的讨论: 默认情况下,bin/client
尝试(按此顺序)使用:
etc/keys.properties
etc/users.properties
karaf/karaf
-u
提示输入密码bin/client
是一个SSH客户端(用Java编写)。host.key
与SSH的文件相同,并且包含受信任的主机(您还有.sshkaraf/known_hosts
)
OP中引用的博客部分已经过时:
不幸的是,这将停止bin/client命令的工作
否。
修改在OP中描述的(更改代码中的默认密码等)/用户。属性< /代码>删除代码> ET/KEY。属性< /代码>将容器从特定的攻击向量中固定。
根据Karaf对该堆栈溢出问题的讨论: 默认情况下,bin/client
尝试(按此顺序)使用:
etc/keys.properties
etc/users.properties
karaf/karaf
-u
提示输入密码bin/client
是一个SSH客户端(用Java编写)。host.key
与SSH的文件相同,并且包含受信任的主机(您还有.sshkaraf/known_hosts
)
OP中引用的博客部分已经过时:
不幸的是,这将停止bin/client命令的工作
我注意到有人投了反对票,投票结束了这个问题。请在评论中解释否决票的目的。不是否决你的人,而是我想你想问:“如何确保。。。不是如何破解…?最好在Karaf邮件列表上提问,我相信你会在那里得到更详细的答案…我注意到一个反对票和一个结束这个问题的投票。请在评论中解释否决投票的目的。不是否决你的人,但我认为你的意思是问:“如何确保……而不是如何黑客……?最好在Karaf邮件列表上提问,我相信你会得到更详细的答案。。。