„případně pak o prvotní metodě generování autorizačního SMS kódu“
Neslyšel a nic jsem nenašel, byl by odkaz? Btw. většina bank stále posílá SMS s kódem nešifrované (jako normální SMS).
„root se nesmí přihlásit na SSH (jen uživatelem přes sudo)“
To je jedna z nejdebilnějších ochran proti bruteforce. Když zconcatenatujete jméno uživatele a současné heslo roota, uděláte toho pro bezpečnost stejně a nebudete mít problémy třeba s kopírováním souborů.
„a věděli by, že jednou z možných cest je použití HTTPS s PFS“
No tak kromě vydání soukromého klíče přidají do zákona ještě povinnost uchovávat prchlivé (když už jsou tady ti jazykoví puritáni) klíče.
Dobry den,
bohuzel o SMS nemuzu dat odkaz na clanek, protoze neexistuje. Nicmene nemam ve zvyku rikat neco, co si nelze overit, jen to neni verejne.
zakazani prihlaseni roota je velice ucinne, protoze utocnik zkousi vetsinou jen hadat heslo na roota. Nezna ostatni usery (muze jen tipovat slovnikem)
HTTPS s PFS, odchytavat to jde dost spatne a na vetsine zarizeni to ani nepujde technologicky (nebudou pro to proste nastroje)
„zakazani prihlaseni roota je velice ucinne, protoze utocnik zkousi vetsinou jen hadat heslo na roota. Nezna ostatni usery (muze jen tipovat slovnikem)“
Ano, stejně, jako může tipovat slovníkem heslo na roota.
„HTTPS s PFS, odchytavat to jde dost spatne a na vetsine zarizeni to ani nepujde technologicky (nebudou pro to proste nastroje)“
Se nařídí zákonem.
„kdyz neznate jmeno uzivatele, tak je preci slozitejsi louskat heslo“
Asi tak stejně složité, jako louskat heslo "původní_heslo+jméno_uživatele"?
„navic root by se za normalnich okolnosti nemel do systemu hlasit nikdy“
Co jsou normální okolnosti? Já třeba na serverech většinou pracuji jako root, protože je spravuji.
To je jedna z nejdebilnějších ochran proti bruteforce. Když zconcatenatujete jméno uživatele a současné heslo roota, uděláte toho pro bezpečnost stejně a nebudete mít problémy třeba s kopírováním souborů.
Kolikrat se budete jeste omilat tahle demagogie, ze bezpecnost == 'delka & slozitost hesla' ? Jednak se uz v historii opakovane stalo, ze byl cracknut proces autentizace, dokonce i u SSH, jednak realita je proste takova, ze automatizovane pokusy o prunik jdou na ucet roota a obsluhovani takovych pokusu _je_ zbytecna rezie, ktera zatezuje server. Individualne cileny utok je samozrejme jina pisnicka, ale i tady je to o daleko podstatnejsich opatrenich nez 'delku hesla roota zvysime o jeden znak'.
OMFG. Tak za prvé, psal jsem, že jde o debilní ochranu proti bruteforce. Že to může pomoct proti jiným útokům nepopírám.
Za druhé, o kolik méně server zatěžuje, když někdo zkusí heslo na roota a root je zakázaný? SSH handshake, tedy tu nejnákladnější část, musel provést stejně.