SSH Auditor
Особенности
ssh-auditor будет автоматически:
- Повторно проверять все известные хосты по мере добавления новых учетных данных. Он будет проверять только новые учетные данные.
- Очередью полностью проверяет учетные данные для любого нового обнаруженного узла.
- Очередь полного сканирования учетных данных для любого известного хоста, чья версия ssh или ключевой отпечаток пальца изменялся.
- Попытается выполнить команду, а также попытается туннелировать TCP-соединение.
- Повторит проверку всех учетных данных с помощью проверки подлинности scan_interval – по умолчанию – 14 дней.
- Он разработан так, что вы можете запускать проверку ssh-auditor open + ssh-auditor от cron каждый час, чтобы выполнять постоянный аудит.
Установка
$ go get github.com/ncsa/ssh-auditor
Использование
Создайте исходную базу данных и найдите ssh-серверы
$ ./ssh-auditor discover -p 22 -p 2222 192.168.1.0/24 10.0.0.1/24
Добавьте пары учетных данных для проверки
$ ./ssh-auditor addcredential root root $ ./ssh-auditor addcredential admin admin $ ./ssh-auditor addcredential guest guest --scan-interval 1 #check this once per day
Попробуйте учетные данные на обнаруженные узлы в партии 20000
$ ./ssh-auditor scan
Вывести отчет о том, какие учетные данные были обработаны
$ ./ssh-auditor vuln
Этот запрос, который запускает ssh-auditor vuln
select hc.hostport, hc.user, hc.password, hc.result, hc.last_tested, h.version from host_creds hc, hosts h where h.hostport = hc.hostport and result!='' order by last_tested asc
Перероверка учетных данных
$ ./ssh-auditor rescan
Вывести отчет о дублировании использования ключа
$ ./ssh-auditor dupes
Скачать SSH Auditor
¯_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
2018-09-20T11:55:24
Аудит ИБ