Re: SSH - použitý port (bezpečnost)
Tomas Rett
testrett na gmail.com
Středa Listopad 30 20:56:30 CET 2005
On 11/19/05, Dalibor Straka <dast na panelnet.cz> wrote:
>
> On Sat, Nov 19, 2005 at 01:31:23PM +0100, Premysl Hruby wrote:
> > Jan Houstek wrote:
> > > Tomas Rett wrote:
> > >
> > >> Dobrý den.
> > >>
> > >> Může vadit, když je použit pro SSH neprivilegovaný port - např. 2233
> ?
> > >> Je to
> > >> bezpečnostní díra ?
> > >
> > >
> > > Jediny problem je v tom, ze na 2233 se muze si muze udelat bind()
> > > kdokoliv, takze pokud se nejakemu lokalnimu uzivateli podari
> vystihnout
> > > moment, kdy sshd zrovna nebezi a povesi si tam svuj sshd, muze zkouset
> > > delat osklive veci.
> > >
> > > -- Honza Houstek
> >
> > Ja bych z toho zase takovy problem nedelal, protoze sshd se spousti pri
> > bootu (nebo treba upgrade, ale to je natolik specificka situace, ze si
> > to muzu ohlidat) kdy mam jistotu ze mi do toho nebude rypat jeste nekdo
> > jiny. A navic nam proti tomuhle (pravda jenom detekce zmeny) pomuze
> > fingeprint ssh klice servru (pokud jsme se tam jiz jednou pripojili nebo
> > si ho pamatujem :-) ) takze na takovy podvrh by se prislo.
> >
> Nikdy nevis:
> while( NOT bind na 2233 ) moc necekej;
> a tady uz jsme bindnuty :). Adminovy to ssh jednou muze umrit treba
> ten clovek zapraska pamet uplne uplne, a pak spusti milion pripojek ssh
> a treba to sshd oomkiller rozdrti. Tim padem se tvuj skript povesi na
> 2233, nasimuluje nejake male piskoviste a admin se prihlasi.
>
> A nejde jen o umyslne shozeni sshd. Staci, kdyz se bude restartovat kvuli
> upgradu baliku nebo zmene konfigurace. Pri pouziti toho drastickeho
> cyklu se tam uzivatelsky program povesi temer ihned a nezli to admin
> zjisti proc mu sshd odmita nabehnout muze se tam prihlasit nekdo jiny.
>
> -- Dalibor Straka
Na port 22 se ale normální , neprivilegovaný uživatel nemůže přihlásit, ne
?!
Tomáš Rett
--
Tomáš Rett, tel. 2 4403 2121
Negentropy Needs Maintenance
Další informace o konferenci Linux