root cez ssh
Dalibor Straka
dast na panelnet.cz
Neděle Leden 18 12:18:51 CET 2004
On Sat, Jan 17, 2004 at 11:43:18PM +0100, Jirka Kosina wrote:
> On Sat, 17 Jan 2004, Petr Simek wrote:
>
> > > Mam to takto nastavene aj ja, ale ked je ssh "dokonale" bezpecne, preco
> > > sa *vehementne* neodporuca
> > > pouzit/povolit prihlasenie roota cez ssh.
> > > (bezne sa prihlasim ako user a potom su)
> > Je tu drobna vyhoda - vite kdo se na toho roota hlasil, kdyz se prihlasi
> > rovnou root, tak to mohl byt v podstate kdokoliv.
>
> Coz stejne onen root muze z logu hrave vymazat.
>
Proto je vhodne logy posilat na nejaky centralni server,
pak utocnik sice muze modifikovat logy na napadenem systemu,
ale v tech odeslanych se zaznamy nezmeni.
> Dalsi drobnou velmi diskutabilni vyhodou je, ze pokud se na toho roota
> budete hlasit pomoci ssh z nejakeho neduveryhodneho stroje, na kterem bude
> nainstalovano patchle ssh, ktere bude logovat trojici host/login/pass, tak
> v pripade ze se nebudete hlasit rovnou jako root, to chytne jen
> jmeno/heslo obycejneho uzivatele a ne roota. Typicky zabackdoorovany ssh
> klient uklada prave jen tato data, nikoliv celou seanci (tedy s pripadnym
> dalsim su, apod.).
>
Priznam se, ze cely zivot balancuji mezi obema variantama. Ono to totiz
az tak moc velke zabezpeceni neni. Aby se nedalo odchytit heslo na roota
je vhodne pouzivat klice. Sice kdyz uz napadl ssh tak si asi muze
precist privatni klice, ale je to bezpecnejsi.
Preji hezky den,
-- Dalibor Straka
Další informace o konferenci Linux