SSH jen root
Milan Kerslager
milan.kerslager na pslib.cz
Sobota Duben 27 09:41:10 CEST 2002
On Thu, 25 Apr 2002, Tomas Valousek wrote:
> On Thu, 25 Apr 2002, Boruvka :) wrote:
>
> > Odpovim si sam, jde to, /etc/ssh/sshd_config AllowUsers root
> >
> > Prominte... pro stromy jsem nevidel les :) ... Boruvka
>
> BTW: vytvorte si bezny uzivatelsky ucet, pro ktery si povolite pristup
> pres ssh a prihlasovani roota zakazte. Pokud se budete chtit prihlasit na
> roota, pouzijete 'su'.
Zakaz prihlaseni roota pres sit (pro telnetova spojeni) pochazi z historie
a motivace byly asi takove:
- administrator je upozornen, kdyz tuto nebezpecnou cinnost dela
(tj. vnucuje se mu, ze prihlasovat se telnetem na roota je nebezpecne)
- bezne sniffovaci programy (tj. program poslouchajici na siti a
odchytavajici kolem letici hesla) zachyti jen nekolik prvnich znaku
komunikace (treba do druheho stisku Enter) a tak se heslo administratora
delajiciho su nezachyti (mozna :-), spoleha se na to, ze by se su v
komunikaci tezko dohledavalo - prvni heslo se pozna podle SYN paketu)
Bezne hacky do ssh klienta (tj. do programu ssh) se chovaji podobne jako
vyse zmineny sniffer, tj. zaznamenaji jen prvni prihlasovaci jmeno/heslo
do souboru na disku (pokud je nekdo na napadenem systemu pouzije).
V kazdem pripade jsou tyto metody security-by-obscurity a rozumny
administrator by mel zajistit, aby byla odstranena pricina a ne az
nasledek (tj. aby misto telnetu byl pouzivan SSH nebo aby system, ze
ktereho se nekam hlasim, splnoval alespon zakladni pozadavek na udrzbu a
integritu [rpm -V, tripwire etc]).
Mimochodem: Web SuSE byl kompromitovan tak, ze se neopatrny admin jejich
NS serveru prihlasil z napadene masiny na ten jejich NS a hacknuty ssh
klient zaznamenal do logu na disk pouzite heslo. To pak umoznilo hackerovi
nevinne masiny prihlasit se na jejich NS a zmenit ho (DNS zaznamy).
Na prikladu techto trivialnich odhaleni je videt, ze ani digitalni podpis
nebude mit na ruzich ustlano. Soucasne viry do Outlooku a spol. se zmeni
na trojske kone sbirajici soukrome klice a heslove fraze. To pak bude
prdel, az nekdo digitalne podepise sek za nekoho moviteho [nebo mi
vyskrabne poslednich tisic korun ze sporozira] :-)
Pouceni je tedy nasnade: nezli se spolehat na to, ze me ochrani su po
loginu na obycejneho uzivatele, mel bych 2x premyslet, nez se vubec nekam
prihlasim (tj. zamyslet se nad tim, odkud a z jakeho systemu)...
...nainstalovat do ucebny ve skole nebo na nejaky pocitac sniffer
klavesnice je velmi triviani :-)
--
Milan Keršláger
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux