Saat mengubah kata sandi admin, bersihkan login SSH juga

Hai tim QNAP.

QTS 5.2.9.3410

Baru-baru ini saya mereset kata sandi akun admin di QNAP NAS saya melalui CLI. Ketika saya me-restart NAS, saya diminta memasukkan Cloud Key sebagai kata sandi, lalu diminta untuk memilih kata sandi admin yang baru. Sampai di sini, semuanya berjalan baik.

Kemudian saya menyadari bahwa file authorized_keys dan kunci RSA SSH milik admin tidak dihapus, dan sesi SSH saya saat ini (login dengan file kunci) tidak diputus oleh QTS. Jika saya adalah peretas yang sedang berada di sesi SSH, saya masih memiliki akses ke NAS meskipun kata sandi admin telah diubah melalui UI. Dan saya masih bisa login lagi melalui SSH kapan saja.

Saya menyarankan agar hal di atas dilakukan secara otomatis saat kata sandi admin diubah, sebagai tindakan pengamanan.

Terima kasih.

Terima kasih atas sarannya! Tim internal kami akan memverifikasi hal ini dan menanganinya sesuai prosedur.

Bisakah Anda memberi tahu kami perintah CLI mana yang Anda gunakan untuk mengubah kata sandi akun? Kami akan menelusurinya lebih lanjut dan menanganinya sesuai kebutuhan. Terima kasih!

Saya tidak ingat, tapi itu bukan masalahnya.

Mengubah kata sandi admin seharusnya menghasilkan ulang file kunci dan memutus semua koneksi SSH yang sedang aktif.