互联网上有很多说明使用saslauthd。 我试图运行该服务。 当我发现/run/saslauthd/mux socket和/usr/sbin/testsaslauthd都可用于非特权用户时,它给了我一个惊喜。 所以当你开始saslauthd时,这会让你的系统变得脆弱。
限制蛮力的方法是什么? 我试图谷歌它,但谷歌只显示SMTP和IMAP的东西,而不是saslauthd漏洞本身。
/run/saslauthd/mux套接字和/usr/sbin/testsaslauthd都可用于非特权用户。
是的,因为通常一些使用SASL进行身份validation的服务也可以作为非特权用户运行。
所以当你开始saslauthd时,这会让你的系统变得脆弱。
这是一个很大的飞跃。
saslauthd服务只能由本地用户和进程使用,它不是一个开放在线暴力尝试的networking服务。 在服务级别上,你并没有真正确保这种服务对抗蛮力企图,就像你没有确保su命令对抗暴力企图一样。
正如你已经暗示你可以做什么: