当使用Erlang程序(如ejabberd)时,Erlang端口映射程序守护进程epmd被启动并打开端口4369。
默认情况下,这个端口可以通过internet访问(只有最近的ejabberd版本允许配置epmd应该绑定到localhost)。
ejabberd文档建议通过包过滤规则阻止该端口,Debian bug跟踪器中的注释称这种默认行为"从安全角度来看是一场噩梦"。
当ejabberd运行时,4369端口未被阻塞,最坏的情况是什么?
说-防火墙是错误配置的意外或类似的东西。
一个精通erlang的攻击者在这个端口能做的最邪恶的事情是什么?在linux发行版(例如Debian/Ubuntu)下运行epmd的用户/特权是什么?
问得好。
除了端口4369之外,您还必须考虑它将为实际节点间通信建议的端口(默认为5001-6024)。就像所有的tcp服务一样,它也容易受到恶意者的攻击,因为软件永远不会没有漏洞,因此是可以被黑客攻击的。想想SSH和它的缓冲区溢出漏洞。由于'epmd'不提供很多服务,节点间通信是通过安全cookie代码进行身份验证的,而且Erlang相对较老,因此在这方面不会有很多错误。但在安全领域,仅靠良好的血统并不能算数。: -)
正如您所写的,您需要一个正确配置的防火墙来确保服务器不会像那样暴露。您需要确保在维护过程中彻底检查防火墙的正常功能。
哦,我以非root用户运行Erlang节点,文件权限有限。
您可能会发现beam之间活动连接的源/目的地址和端口号对。这可能导致对跨beam连接的DoS攻击。