使用 ZTM 防护未修复的 OpenSSH 漏洞

文章预览

2024 年 7 月，OpenSSH 被曝出  CVE-2024-6387 [1]  (Security Regression) 安全漏洞。如果无法及时修复该漏洞，或者担心修复可能带来其他负面影响，可以使用  ZTM [2]  来快速保护受影响的主机，并提供不间断的安全 SSH 访问。这种方案适用于各种漏洞场景，当没有足够时间修复或者担心修复带来其他负面影响时，都可以用这种方法来快速屏蔽风险，并维持服务不中断。 假设我们有一台受该 CVE 影响的主机 A，下面演示如何使用 ZTM 在不升级 SSH 服务的情况下提供安全访问。方案思路是：在主机 A 上运行 ZTM Agent，在另一台安全的主机 X 上运行 ZTM Hub；A 上的 ZTM Agent 连接到 X-Hub，建立 X-A 隧道用于从 X 通过隧道访问 A 的 SSH 服务；最后关闭 A 上 SSH 服务的公开访问，使其仅监听在 127.0.0.1:22 端口。这样实施后，管理员可以从 X 和 Y 主机通过 ZTM 隧道访问 A 主机的 SSH ………………………………