SSH - použitý port (bezpečnost)
Dalibor Straka
dast na panelnet.cz
Sobota Listopad 19 14:01:19 CET 2005
On Sat, Nov 19, 2005 at 01:31:23PM +0100, Premysl Hruby wrote:
> Jan Houstek wrote:
> > Tomas Rett wrote:
> >
> >> Dobrý den.
> >>
> >> Může vadit, když je použit pro SSH neprivilegovaný port - např. 2233 ?
> >> Je to
> >> bezpečnostní díra ?
> >
> >
> > Jediny problem je v tom, ze na 2233 se muze si muze udelat bind()
> > kdokoliv, takze pokud se nejakemu lokalnimu uzivateli podari vystihnout
> > moment, kdy sshd zrovna nebezi a povesi si tam svuj sshd, muze zkouset
> > delat osklive veci.
> >
> > -- Honza Houstek
>
> Ja bych z toho zase takovy problem nedelal, protoze sshd se spousti pri
> bootu (nebo treba upgrade, ale to je natolik specificka situace, ze si
> to muzu ohlidat) kdy mam jistotu ze mi do toho nebude rypat jeste nekdo
> jiny. A navic nam proti tomuhle (pravda jenom detekce zmeny) pomuze
> fingeprint ssh klice servru (pokud jsme se tam jiz jednou pripojili nebo
> si ho pamatujem :-) ) takze na takovy podvrh by se prislo.
>
Nikdy nevis:
while( NOT bind na 2233 ) moc necekej;
a tady uz jsme bindnuty :). Adminovy to ssh jednou muze umrit treba
ten clovek zapraska pamet uplne uplne, a pak spusti milion pripojek ssh
a treba to sshd oomkiller rozdrti. Tim padem se tvuj skript povesi na
2233, nasimuluje nejake male piskoviste a admin se prihlasi.
A nejde jen o umyslne shozeni sshd. Staci, kdyz se bude restartovat kvuli
upgradu baliku nebo zmene konfigurace. Pri pouziti toho drastickeho
cyklu se tam uzivatelsky program povesi temer ihned a nezli to admin
zjisti proc mu sshd odmita nabehnout muze se tam prihlasit nekdo jiny.
-- Dalibor Straka
Další informace o konferenci Linux