script utok
Petr Pisar
xpisar na fi.muni.cz
Neděle Září 4 22:04:23 CEST 2005
Miroslav Kolombo napsal(a):
> Neni nejaky jednoduchy mechanismus, jak treba po 10tem chybnem prihlaseni
> zamezit na urcitou dobu pokusum o prihlaseni z dane IP?
> Ale ne za cenu, ze to bude obrovsky a komplikovany system ...
Je videt, ze toto tema vzdy rozviri flame nekolik dni ci tydnu trvajici. A
nejen tady. Staci se podivat do comp.security.ssh, kde vzdy nekdo prijde s
"genialnim" resenim a ostatni jej strhaji az na kost.
Otazka v obecne rovine zni, zda se "schovavat pred utocnikem a volit
silnejsi hesla" (napr. portknocking, vyzadovat prihlasovani klicem,
obskurni porty) nebo "rozpoznat utok a utocnika zablokovat".
Ja osobne zastavam nazor "silna hesla" a "detekce utoku". To prvni je
nezbytny predpoklad dobreho zabepeceni, to druhe je vyborny zpusob, jak
utok odhalit, zajistit jeho selhani (napr. zablokovani) a informovat o nem
spravce zdrojove site (protoze casto je i on kompromitovan a pusobi obtize
i jinym ucastnikum site).
K detekci utoku je dobre pouzit univerzalni zpusob, ktery poslouzi i v
jinych pripadech. V linuxu na autentizaci slouzi PAM. Proto je prirozene
vyuzit vhodneho PAM modulu, jakym je starsi pam_tally, ktery pracuje per
user nebo novejsi pam_abl, ktery pracuje per user OR per IP. (K tomu
druhemu jsem uverejnil jednoduchy navod v cestine na
[http://www.abclinuxu.cz/blog/pb/2005/6/6/89653]).
Jako protipriklad, ze ceske IP jsou bezpecne, mohu uvezt utok z pocatku
srpna t.r., jehoz byl muj router cilem, ktery byl veden ze site
superpocitacoveho centra CVUT. Tamejsi spravci byli velmi vstricni a vse se
nakonec vysvetlilo.
--Petr
Další informace o konferenci Linux