utok pres ssh

[Pavel Kankovsky]

On Thu, 17 Jan 2002, Jan Václavík, Ing. wrote:

> jelikoz me na jednom serveru taky potkalo to, co nektere z Vas a protoze
> se ve vnitrnostech SSH (zatim) moc nevyznam, tak se chci zeptat, jestli
> muze opakovanemu napadeni zamezit nektera nastaveni opemeni pristupu k
> danemu stroji pres SSH, napriklad pomoci omezeni stroju, ze kterych je
> pristup, nebo pomoci pristupu spec. klicem(asi to neni presny, presne
> nevim, jak to funguje).

Pochopitelne jedna z veci, kterou byste mel udelat tak jako tak, je
napadeny system deratizovat a nainstalovat tam takovou verzi demona,
o ktere lze predpokladat, ze neni tak derava. (A to same provest na
pripadnych dalsich pocitacich driv, nez budou napadeny i ony.)

Nicmene mate pravdu, ze riziko lze omezit i tak, ze omezite pristup
k demonovi. Toto omezeni musi byt provedeno na relativne nizke urovni,
protoze diskutovany problem lze zneuzit, aniz by byla dokoncena
autentizace (a tudiz jsou proti ni nejake hratky s klici neucinne).
Moznosti, jak takove omezeni realizovat, jsou asi dve zakladni:
filtr v jadre (ipchains, iptables) a/nebo tcp_wrappers (/etc/hosts.allow
a /etc/hosts.deny...za predpokladu, ze mate sshd prelozene s podporou
tcp_wrappers nebo kdyz sshd spoustite z inetd a predradite mu tcpd).

Ovsem pokazde, kdyz neco takoveho delate, mejte na vedomi, ze pokud
utocnik uspesne pronikne na pocitac, ze ktereho je pristup povolen, tak
z nej uz muze bez problemu zautocit na ten chraneny pocitac.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."