FortiSiem : Tünel kullanıcısı için Hardcoded SSH yapılandırmasını devre dışı bırakma

Bu, toplayıcı ve denetleyici arasında bir güvenlik duvarı olduğunda denetleyiciden toplayıcılara bağlanmayı sağlayan bir özelliktir. Kısıtlı kullanıcı ‘tunneluser’, yalnızca kullanıcının denetleyiciden kaynak IP’ye tünel bağlantıları oluşturmasına izin veren kısıtlı bir kabukta çalışır (yani, bağlantıyı başlatan IP’ye ters kabuk bağlantılarını etkinleştirir). Ters tünel özelliğini kullanmayan müşterilerin 19999 numaralı bağlantı noktasında SSH hizmetini devre dışı bırakmaları önerilir.

Adımlar:

1) Ekli phProvision.sh.patch dosyasını Super / tmp klasörünüze yükleyin.

2) İşlemi şu komutla kontrol edin:

ps aux | grep 19999

sonuç şuna benzer olmalıdır:

root 3384 0.0 0.0 66288 1224 ? Ss 11:24 0:00 /usr/sbin/sshd -p 19999 -f /etc/ssh/sshd_config.tunneluser
root 9522 0.0 0.0 103324 916 pts/2 S+ 11:34 0:00 grep 19999

3) Tünel kullanıcı yapılandırma dosyasını kaldırın.

rm -f /etc/ssh/sshd_config.tunneluser

4) Yamalanmış dosyayı orijinal dosyanın üzerine kopyalayın ve üzerine yazın.

cp /tmp/phProvision.sh.patch /etc/init.d/phProvision.sh
cp: overwrite `/etc/init.d/phProvision.sh’? y

5) 19999 numaralı bağlantı noktasını dinleyerek mevcut işlemi kill edin.

pkill -f ‘/usr/sbin/sshd -p 19999′

6) Sistemi yeniden başlatın

shutdown -r now

7) Süper yeniden başlatıldığında, tünel kullanıcının 19999 numaralı bağlantı noktasında artık dinlemediğini kontrol edin.

ps aux |grep 19999

sonuç şuna benzer olmalıdır:

root 10179 0.0 0.0 103320 912 pts/2 S+ 11:35 0:00 grep 19999

İlgili Patch : phProvision.sh.patch

Kaynak : https://kb.fortinet.com/kb/documentLink.do?externalID=FD47776

 

1,790 total views, 1 views today