SSH jen root

Milan Kerslager milan.kerslager na pslib.cz
Sobota Duben 27 09:41:10 CEST 2002 

On Thu, 25 Apr 2002, Tomas Valousek wrote:

> On Thu, 25 Apr 2002, Boruvka :) wrote:
> 
> > Odpovim si sam, jde to, /etc/ssh/sshd_config AllowUsers root
> > 
> > Prominte... pro stromy jsem nevidel les :) ... Boruvka
> 
> BTW: vytvorte si bezny uzivatelsky ucet, pro ktery si povolite pristup 
> pres ssh a prihlasovani roota zakazte. Pokud se budete chtit prihlasit na 
> roota, pouzijete 'su'.

Zakaz prihlaseni roota pres sit (pro telnetova spojeni) pochazi z historie 
a motivace byly asi takove:

- administrator je upozornen, kdyz tuto nebezpecnou cinnost dela
  (tj. vnucuje se mu, ze prihlasovat se telnetem na roota je nebezpecne)

- bezne sniffovaci programy (tj. program poslouchajici na siti a
  odchytavajici kolem letici hesla) zachyti jen nekolik prvnich znaku
  komunikace (treba do druheho stisku Enter) a tak se heslo administratora
  delajiciho su nezachyti (mozna :-), spoleha se na to, ze by se su v 
  komunikaci tezko dohledavalo - prvni heslo se pozna podle SYN paketu)

Bezne hacky do ssh klienta (tj. do programu ssh) se chovaji podobne jako 
vyse zmineny sniffer, tj. zaznamenaji jen prvni prihlasovaci jmeno/heslo 
do souboru na disku (pokud je nekdo na napadenem systemu pouzije).

V kazdem pripade jsou tyto metody security-by-obscurity a rozumny
administrator by mel zajistit, aby byla odstranena pricina a ne az
nasledek (tj. aby misto telnetu byl pouzivan SSH nebo aby system, ze
ktereho se nekam hlasim, splnoval alespon zakladni pozadavek na udrzbu a
integritu [rpm -V, tripwire etc]).

Mimochodem: Web SuSE byl kompromitovan tak, ze se neopatrny admin jejich
NS serveru prihlasil z napadene masiny na ten jejich NS a hacknuty ssh
klient zaznamenal do logu na disk pouzite heslo. To pak umoznilo hackerovi
nevinne masiny prihlasit se na jejich NS a zmenit ho (DNS zaznamy).

Na prikladu techto trivialnich odhaleni je videt, ze ani digitalni podpis
nebude mit na ruzich ustlano. Soucasne viry do Outlooku a spol. se zmeni
na trojske kone sbirajici soukrome klice a heslove fraze. To pak bude
prdel, az nekdo digitalne podepise sek za nekoho moviteho [nebo mi
vyskrabne poslednich tisic korun ze sporozira] :-)

Pouceni je tedy nasnade: nezli se spolehat na to, ze me ochrani su po
loginu na obycejneho uzivatele, mel bych 2x premyslet, nez se vubec nekam
prihlasim (tj. zamyslet se nad tim, odkud a z jakeho systemu)...

...nainstalovat do ucebny ve skole nebo na nejaky pocitac sniffer 
klavesnice je velmi triviani :-)

-- 
                        Milan Keršláger
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Linux