Internet Info, s.r.o. Lupa Měšec Podnikatel Root Zdroják DigiZone Slunečnice Vitalia Tuesday TopDrive KupDnes Navrcholu Bomba NovýTarif Dobrý web Weblogy Woko Jagg Computer.cz SK: MojeLinky

Hlavní navigace

PDA a mobily obrázek k článku Zrušte hlasový tarif a volejte levněji přes data

Zrušte hlasový tarif a volejte levněji přes data

Elektronická pošta obrázek k článku Moderní přístup k mailu s moderním klientem

Moderní přístup k mailu s moderním klientem

Periferie obrázek k článku První praktické zkušenosti s Raspberry Pi

První praktické zkušenosti s Raspberry Pi

Linux obrázek k článku Linux Mint přináší nové desktopové prostředí

Linux Mint přináší nové desktopové prostředí

Root.cz  »  Bezpečnost  »  Dvacet tipů jak zabezpečit server OpenSSH

Dvacet tipů jak zabezpečit server OpenSSH

28. 7. 2009 14:08 Kamil Pošvic

Nálepky:

Asi většina z nás někdy použila nebo používá SSH pro vzdálený přístup k počítači. Na serveru Cyberciti.biz vyšel seznam dvaceti tipů jak co nejvíce zabezpečit svůj server OpenSSH. Jsou zde evergreeny jako zakázat přihlášení roota, používat silná hesla nebo změnit číslo portu. Jestliže SSH používáte, tak lze tento seznam použít i jako kontrolu, zda máte vše nastaveno co nejvíce bezpečně.

Předchozí zprávička Následující zprávička        
Tweetni to Twitter Jaggni to! Jagg Del.icio.us Delicious
Jiří J.
Jiří J. (neregistrovaný) ---.802.cz
29. 7. 2009 4:18 Nový

root login

celé vlákno

Oněch „20 zásad bezpečnosti“ jsou spíše poznámky možností OpenSSH, není to žádné dvacatero, například nastavovat idle timeout u stroje, kam se přihlašuji z osobních počítačů, je blbost. Nebo login jako root, to abych citoval:

Saying „don't login as root“ is horseshit. It stems from the days when people sniffed the first packets of sessions so logging in as yourself and su-ing decreased the chance an attacker would see the root pw, and decreast the chance you got spoofed as to your telnet host target, You'd get your password spoofed but not root's pw. Gimme a break. this is 2005 – We have ssh, used properly it's secure. used improperly none of this 1989 will make a damn bit of difference. -Bob

Odpovědět
Další nový názor     
Milan Keršláger
Milan Keršláger (neregistrovaný) ---.228.broadband7.iol.cz
29. 7. 2009 7:23 Nový

Zákaz přihlašování roota je bezpečnostní díra!

celé vlákno

Myšlenka, že zakázáním přihlášení roota zvýšíte bezpečnost, je naprosto zcestná. Možná to platilo v době telnetu, kdy stačilo odposlechnout počátek komunikace, ale dnes to již dávno neplatí. SSH celou komunikaci kvalitně šifruje, takže není možné odposlechnout obsah. Šlo by však na základě rytmu komunikace odhadnout, kolik a jaké klávesy asi byly stisknuty. SSH klient a server to vědí, a proto dodávají do autentizačního počátku vatu, která délku hesla i rytmus zamlží. Pokud se nepřihlásíte jako root, následně použijete příkaz „su“, který si vyžádá heslo roota. Jenže v té době již SSH klient ani server NEVĚDÍ, že zadáváte heslo. Proto nemohou mlžit přidáváním vaty a případný útočník může vhodnou analýzou podstatně zúžit množinu možných hesel. Proto to takhle NIKDY nedělejte. Nicméně samozřejmě platí, že útočník se vydá nejsnadnější cestou, takže pokud nespravujete server u BIS, takový problém vám nehrozí. Leda byste měli pro roota stupidní heslo, které podlehne slovníkovému útoku. Ale pokud je někdo takový pošetilec, zákaz přihlašování roota mu nepomůže. Je to jako visací zámek s petlicí na autě Mr. Beana.

Odpovědět
Další nový názor     
Sten
Sten (neregistrovaný) ---.18.broadband16.iol.cz
29. 7. 2009 12:38 Nový

Re: Zákaz přihlašování roota je bezpečnostní díra!

celé vlákno

Zákaz přihlašování na roota má jeden zásadní důvod. Distribuovaně prolomit heslo dnes lze (případně využít nějaké chyby) a proč útočníkovi dávat jednoduše k prolomení jedno heslo, když mu můžete ztížit život tím, že bude muset prolomit navíc i jedno jméno účtu?

Co se týče toho zadávání hesla po su, to má dvě mouchy: útočník neví, kdy do konzole zadáváte heslo a kdy příkazy, takže tam vata není třeba, zato celkem jasně ví, kdy zadáváte heslo pro SSH, proto ta vata. Druhá věc je sudo. Vhodně nastavené a bez hesla je tak daleko lepší než jednoduché su.

Odpovědět
Další nový názor     
Milan Keršláger
Milan Keršláger (neregistrovaný) ---.140.broadband12.iol.cz
2. 8. 2009 21:40 Nový

Re: Zákaz přihlašování roota je bezpečnostní díra!

celé vlákno

Nemá. Bruteforce se na kvalitní heslo nechytí (počet kombinací je příliš vysoký a počet testů za jednotku času silně limitovaný). Chcete-li bezpečnost, použijete klíč. A pokud používáte heslo, nebudete tak pošetilý, abyste vyřadil existující bezpečnostní opatření (přidávání vaty).

Odpovědět
Další nový názor     
Rado1
Rado1 (neregistrovaný) 165.72.200.---
29. 7. 2009 9:58 Nový

zakazat root pristup

celé vlákno

jedno opodstatnenie ma. Nikto netusi [zistit to moze, ale to komplikuje automaticke kobercove nalety], ake ucty mam na servri. root je ale uplne vsade. Takze ked pojdem bruteforce utokom, vyberiem si login root-a, pretoze viem, ze taky login existuje. Naco skusat bruteforce na „john“, ked taky login na masine pravdepodobne ani nie je?

Odpovědět
Další nový názor     
admiral
admiral (neregistrovaný) 152.94.124.---
3. 9. 2009 22:27 Nový

Re: zakazat root pristup

celé vlákno

to je ptakovina..jak rikal typek pred tebou…dobre heslo bruteforcem neprolomis i kdyby ses rozkrajel..navic ja jedu na vsechny rooty pres certifikat(za­heslovany)..tak­ze tudy cesta nikdy nevede..navic omezis pocet pokusu v iptables nebo nekde a proste no chance

Odpovědět
Zasílat nově přidané příspěvky e-mailem        

Přehled názorů

root login
Jiří J. 29. 7. 2009 04:18
Zákaz přihlašování roota je bezpečnostní díra!
Milan Keršláger 29. 7. 2009 07:23
└ 
 Re: Zákaz přihlašování roota je bezpečnostní díra!
Sten 29. 7. 2009 12:38
 
└ 
 Re: Zákaz přihlašování roota je bezpečnostní díra!
Milan Keršláger 2. 8. 2009 21:40
zakazat root pristup
Rado1 29. 7. 2009 09:58
└ 
 Re: zakazat root pristup
admiral 3. 9. 2009 22:27
Přidat názor Zobrazit vše