ช่วงนี้งานเยอะครับ ต้องมาทดสอบ Hardening OS และตรวจสอบหลังแก้ไข พบว่า sshd.service ไม่สามารถใช้งานได้ครับ Putty เข้าไม่ไ้เลยครับ
- พอไปตรวจดู Service sshd.service พบว่า inactive ครับ
- เมื่อลองตรวจสอบ Log ด้วยคำสั่ง
journalctl -xe
- พบ Error Message เกี่ยวกับ Permissions ดังนี้
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0640 for '/etc/ssh/ssh_host_rsa_key' are too open. It is required that your private key files are NOT accessible by others. Unable to load host key "/etc/ssh/ssh_host_rsa_key" : bad permissions Unable to load host key: '/etc/ssh/ssh_host_rsa_key' ... Permissions 0640 for '/etc/ssh/ssh_host_ecdsa_key' are too open. It is required that your private key files are NOT accessible by others. .... Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open. It is required that your private key files are NOT accessible by others. sshd: no hostkeys available -- -- exiting. sshd service: Main process exited, code=exited, status=1/FAILURE sshd ,service: Failed with result'exit-code' . Failed to start OpenSSH server daemon.
สาเหตุของปัญหา ?
- Update OS ครับ
- Hardening OS เพราะ Tool OSCAP มันแจ้งว่าสิทธิของ SSH Server Private *_key ของเดิมเป็น 0640
- สำหรับปัญหานี้ สาเหตุเกิดจากการ Hardening OS ครับ
- สิทธิของ Key เดิม 0600 แต่ Hardening บอกว่า 0640 ครับ
- ผมมองว่าเป็น False Positive นะ เพราะ จริงๆ สิทธิของ Key อยู่กับ root ที่เป็น 0600 น่าดีกว่า 0640 ครับ
การแก้ไข ?
- ปรับสิทธิของ Key ที่มีปัญหาด้วยสิทธิ 0600 ทั้ง 3 Key เหมือนเดิม ด้วยคำสั่ง
ตอนนี้ ผมคงต้องหาทางต่อไปครับว่า ปรับสิทธิของ Private Key ให้อย่างไรให้ผ่าน Hardening ครับ
โปรดติดตาม BLOG ตอนถัดไปครับ
Note
- อันนี้เป็นเคสที่เกิดจาก Update OS 1167402 – /etc/ssh/ssh_host_ed25519_key is created with incorrect permissions (redhat.com) โดยการแก้ คือ Generate Key ใหม่
Discover more from naiwaen@DebuggingSoft
Subscribe to get the latest posts sent to your email.
