Vlákno názorů k článku (R)evoluce v OpenSSH 7.0 aneb velké zastarávání od Filip Jirsák - Mám pocit, že všichni cítí, že toto na...
-
Filip JirsákStříbrný podporovatelMám pocit, že všichni cítí, že toto na produkční server prostě nepatří, protože riziko uhodnutí hesla je příliš velké a roboti útočí většinou právě na tento účet.
Necítí to tak úplně všichni. Jsou i lidé, kteří se neřídí pocity, ale racionálním uvažováním. Ti postupují tak, že pokud vyhodnotí uhodnutí hesla přes SSH jako příliš velké riziko, řeší problém s uhodnutím hesla přes SSH. V tomto případě nejsnáze tak, že přihlášení heslem zakážou.Je pozoruhodné, jak často se navrhují řešení, která daný problém vůbec neřeší. Je to jak v tom vtipu, kdy pán večer hledá pod lampou ztracené klíče. „Opravdu jste je ztratil tady?“ – „Kdepak, ztratil jsem je támhle ve tmě. Ale víte, jak blbě se hledají klíče ve tmě?“
-
Asi tak. Zakážu heslo, vygeneruju certifikát a hotovo. Nebo dvoufaktor, certifikát + heslo. Není snad sranda, že útočník hraje hru na hesla a netuší, že už uhodl, ale něco mu chybělo?
Root je tak jako tak potřeba při instalaci zařízení bez lokálního terminálu. A SSH s unikátním heslem pro fyzický kus zařízení je asi nejlepší řešení. Nebo někdo zná lepší, kde by nemusel posílat soukromý klíč výrobci? Webový formulář po HTTP? Nebo nastavování root hesla po Telnetu? Nebo nutnost nahrát certifikáty po FTP? Proprietální protokol s klientem vázaným na konkrétní OS a bez možnosti auditovat bezpečnost?
Takže za sebe - zakázat možnost v SSH používat roota mohl vymyslet jenom blbec.
-
Ivan (neregistrovaný)
Tohle doporuceni melo smysl v dobe kdy se lidi prihlasovali na servery naprimo. Ucelem bylo aby se z auth logu poznalo kdo se su-cknul na root-a. Dneska ma ale kazda vetsi instituce jump-start servery ze kterych se admini hlasi stylem 'sudo/pbrun ssh -l root <server>' Tzn. k prislaseni na server nepotrebuji znat ani heslo ani klic, a navic jsou vsechna prihlaseni na servery logovana.
-
martin-ux (neregistrovaný)
Ja som stratil tolko casu a nervov v robote ohladne tohto, ze by som najradsej plakal. Niekto raz pocul, ze root by sa nemal remotne lognut. Je az neuveritelne ako niektore nadnarodne security firmy toto slepo tlacia. A riesenia, ktore poskytuju su este horsie.
Podla mojho nazoru to ma najlepsie vyriesene Solaris cez RBAC. Jo, na Linux sa to asi da nejak natlacit (grsecurity?) tiez.Za okolnosti v "cloude" alebo vo firmach, kde servery nie su dostupne cez net je to nenormalna pritaz nevediet sa lognut ako root priamo. Hlavne ked sa riesi velky pruser a vsetky tie pseudo riesenia ako sa nelognut priamo ako root zlyhavaju, pripadne poriadne komplikuju pracu.
By ste neverili aky problem bol presvedcit security audit, ze PermitRootLogin yes je v poriadku, kedze root nema nastavene ziadne heslo a da sa prihlasit len cez kluc priamo (a samozrejme consola).
-
karel (neregistrovaný)
Nechápu brblání, to každý server instalujete a konfigurujete ručně?
Samozřejmě že ne, no jediný důsledek to má, že si obě strany jak ti co maj povolen root přes ssh tak my druzí upravíme instalaci a jede se dál, někdo si to po instalaci povolí jiní už nemusí dělat nic nebo to stejně zakáží.
