Vlákno názorů k článku Začínáme bezpečně s FreeBSD od bazil - Tyhle dve vety jsou moc hezke: "Stojíte sami...
-
Článek je starý, nové názory již nelze přidávat.
-
bazil (neregistrovaný)
Tyhle dve vety jsou moc hezke: "Stojíte sami proti různým druhům útočníků. Rozhodně se vyplatí být obezřetný." :-)
Ale k veci: (1) Jak pomuze bezpecnosti to, ze behem instalace nevytvorim uzivatele? (samozrejme ze ne s prazdnym heslem a podobne)
(2) kdyz je "range: -1..3", jak muzu nastavit -2? (navic -1 je "most insecure" tak proc -2 je Extreme secure?)
(3) bezpecnost fyzickeho pristupu nema co spolecneho s OS a je tu nastinena tak hrube ze by mozna bylo lepsi neuvadet vubec
(4) /etc/ttys a rust problemu jsem bohuzel nepochopil, vysvetli mi to nekdo? Zda se mi to dost divne napsane a taky ten prechod k zavadeci...
(5) nutnost prihlasovani uzivatel->superuzivatel na systemove konzoli (fyzicky pristup) resi co?
(6) "kompletne sifrovany system" ? asi sifrovany souborovy system, ne?
(7) omezenim platnosti hesla na 90 dnu se bezpecnost zrejme nezvysi, pokud mate opacny nazor, muzete ho podlozit? (vemte v potaz zname argumenty meho nazoru)
(8) misto "urcime jim" ohledne limitu uzivatelu patri spise "je mozno jim urcit", protoze ne vsechny uzivatele je radno omezovat (v zavislosti na tom co/koho predstavuji, zamereni stroje atd.) (btw. pokud chci vzdalene pristupny paketovy filter tak tam moc uzivatelu asi nebude:-)
(9) prijde mi to moc hrr, hrr, asi bych dal prednost rozebrani kdy co a proc je treba udelat a jake to ma dopady na bezpecnost a ostatni veci, holt jsem asi moc narocny -
jirib (neregistrovaný)
narocny asi jsi :)
1) muzes samozrejme, ale v ramci dalsich veci jsem chtel nejdrive udelat "sablony" pomoci login.conf - samozrejme ze to jde i potom
2) bud prudis naschval nebo ti to uniklo. ano -2 JE PREKLEP v textu ale v prikladu je to spravne.
3) pruda
4) viz single-user-rezim
5) prudis?
6) presne
7) muze to byt diskutabilni
8) proc? treba nekdo nebude mit doma dalsi oddeleny fw...
9) prijde ti to hrrr? tak navstiv odkazy nahore nebo si kup jen na toto tema knihu... neni to o postupem proti crackingu
cest. mam fakt debilni naladu :( smrt :) -
bazil (neregistrovaný)
(1) ptal jsem se jak to pomuze bezpecnosti ne jestli ho muzu vytvorit, precti si tu otazku jeste jednou
(2) proc tu chybu neopravis kdyz o ni vis? Nebyla to pruda, je to chaos kdyz je to tam i tam jinak.
(3) upozorneni na chybu (klidne to nazyvej pruda)
(4) sorry, porad nechapu co to ma spolecne s "narustem" rizika a tech nekolik odstavcu mi moc smyslu nedava. "viz single-user" mi nepomohlo
(5) ptam se, co jsi vyresil tim, ze na systemove konzoli (pri fyzickem pristupu) je nutno hlasit se prvne na uzivatele a az potom na superuzivatele. Pokud sam vidis ze jsi napsal blbost tak to prepis/omluv se a nenazyvej to pruda.
(6) tak bud te lasky a sprav to
(7) a to je podlozeni nazoru? ("muze to byt diskuktabilni")
(8) "...nebude mit doma dalsi oddeleny fw" ... ten clanek byl o tom jak vyresit domaci sit? A proc je cilem _zabezpeceny_ paketovy filter? A co kdyz treba bude? A co kdyz to ctou lidi co to nechteji udelat doma? A co kdyz...
(9) no comment
Jinak se svym stylem bavis? Ja na tebe neutocim, jenom mluvim o vecech ktere se mi zdaly nepresne nebo spatne aby o tom vedeli i ostatni.
Popripade, jestli to chapu spatne tak mi to vysvetli, ale rozumne protoze jinak >/dev/null -
bazil (neregistrovaný)
Myslite tim heslo ve formatu blowfish, dobu zmeny 90 a case? (umask se da asi uzivatelsky zmenit v rc souborech, delka hesla byla takova jakou chtel superuzivatel (uzivatele tvoril a heslo zadaval on), definice trid a omezeni zrejme nemusi byt hotova pred pridanim uzivatele protoze se zmeny musi projevovat i na existujicich uzivatelich a navic viz nize).
Je to s vysokou pravdepodobnosti uzivatel ktery bude pouzivan superuzivatelem k delani beznych veci v systemu. Superuzivatel zrejme musi zmenit jiz svoje heslo do formatu blowfish, takze tak udela krome sebe i u uzivatele pridaneho pri instalaci. Dobu zmeny hesla neuvazuji, nebot se zrejme jedna o uzivatele pouzivaneho superuzivatelem (pokud chce, muze si to nastavit) a case senzitive bude menit i sobe (jako superuzivateli), takze to zmeni i sobe jako uzivateli.
Omlouvam se za spatne formulovanou otazku, melo to znit: "Jak pomuze bezpecnosti nepridani uzivatele ktery bude pouzivam superuzivatelem pro beznou praci v systemu?"
Myslim si ze bezpenosti nepomuze nepridavani jakehokoliv uzivatele, muze to jen pridat adminovi par radku navic pri zmenach na tom danem uzivateli. Ani me nenapadlo ze by takto nejaky admin pridaval klasickeho uzivatele (pro bezne uzivatele bude mit pravdepodobne nejaky centralni system spravy a na fw jim pristup stejne asi neda). To uz ale motam dohromady nekolik ruznych veci, takze radsi stop. -
jam (neregistrovaný)
omlouvam se spatne jsem to formuloval. nepomuzeto, primo, bezpecnosti, ale pomuze to adminovi, protoze nebude muset zpetne opravovat master.passwd.
myslim si ze clanek nemel v umyslu nekomu vnucovat autorovi vzite metody, ale pouze nastinit mozna reseni a pouzil k tomu postupy ktere sam pouziva. ja sam nektere veci resim jinak (a nehodlam to menit, jen proto ze sem si to ted precetl), ale clanek me celkem obohatil. -
jam (neregistrovaný)
7, pokud budu pouzivat cely zivot jedno heslo (presto ze bude super), tak:
....a, zestarne - brute force attack ho casem rozlouskne. jako admin bych si toho mel vsimnout, ze se nekdo casto marne pokousi prihlasit, ale u >200 usivatelu se to ztrati.
....b, okouka se
....c, proflakne se jinym zpusobem - uzivatel ho pouzije na stroji se zberacem hesel, sam byl infikovan trojanem, atp.
8-9, myslim ze je zcela na autorovi clanku, jakym zpusobem clanek pojme. a pochopitelne je na 'citateli' jak clanek /ne/pochopi. me osobne se clanek velmi libil a tesim se na dalsi pokracovani. -
anonymní
Jedno heslo cely zivot -- to asi ne, bavime se o vynucovani zmeny hesla na (vsech) uzivatelich co 90 dnu (nebo drive).
brute force attack --> samozrejme se bere v uvahu jenze -- protiargument: vynucovanym stridanim hesel se docili:
(a) uzivatele jsou nachylnejsi (casem) k volbe "jednoduchych" hesel, protoze si musi kazdou periodu pamatovat jine. Nekteri jsou takovi samozrejme "od prirody", ty nezmeni nic.
(b) uzivatel ma sklon si heslo zapsat na papir, protoze si musi kazdou periodu pamatovat heslo jine ==> jina moznost utoku
(1) Meneni hesla != bezpecnost pred brute-force utokem. Kdo zaruci ze nove heslo bude v utokem jiz prozkoumanem prostoru hesel
(2) Brute-force utok primo na prihlasovani je ve vetsine systemu nemozny (diky vynucene prodleve mezi prihlasenimi) a da se velice jednoduse detekovat -- nesouhlasim s tim ze "se to ztrati" -- samozrejme predpokladam automaticke monitorovani neuspesnych pokusu a upozornovani admina, ne s tim ze by na to prisel sam uzivatel
(3) Brute-force utok pri znalosti zakryptovane podoby hesla je efektivnejsi, jenze tuto podobu hesla je nejdrive treba ziskat a toto je asi jediny typ utoku ktery je "realizovatelnejsi" pri stejnem hesle nez pri meneni hesel
- okouka se? (jako ze se uzivateli nekdo pravidelne diva pres rameno?) To je samozrejme mozne (u bezneho uzivatele), ovsem pokud je nekdo schopen okoukat heslo za rok, je toho s vysokou pravdepodobnosti schopen i za 3 mesice.
- proflakne se? Jaky je rozdil mezi tim kdyz se proflakne stale (rozumej: uzivatel si ho zmeni kdy chce) heslo a heslo na periodu (90 dni)? Kdyz se opravdu "proflakne" (sberac hesel, trojan), tak je prece zneuzito temer okamzite nebo ne?
Argumentem (klasickym) ktery beru je zestarnuti, ale pouze pri prozrazeni zakryptovane podoby hesla. Toto riziko lze celkem minimalizovat a myslim ze je akceptovatelnejsi nez rizika spojena s vynucenou zmenou hesla. -
jam (neregistrovaný)
jak napsal autor clanku, je to diskutabilni. ja sam nejsem zastancem vynucovani zmeny hesel (vetsi duraz kladu na generovani kvalitnich hesel, nepodlehajicim slovnikovym utokum). pouze jsem uvedl par prikladu, ktere me okamzite napadli, ktere mluvi ve prospech vynucovani zmeny hesla.
1, souhlasim ze caste vynucovani vede k slabnuti nejen hesla jako takoveho, ale i obezretnosti uzivatele.
2, brute force attack jsem pochopitelne uvazoval i v pripade ukradeneho master.passwd. kde vynuceni opravdu muze pomoci.
3, trojan sebere hesla, ale sam nemusi vedet co s nimi, bud je preda tvurci, ktery se za pul roku dostane k zajimavemu pristupu a nebo jej prida do slovniku ( a jsme zpet u starnuti :))
4, nesouhlasim s tim ze neni rozdil mezi 1/4 a celym rokem. kdyz budu cely rok poslouchat dynamiku uderu na klavesnici + sem tam zahlidnu rozlozeni prstu na klavesnici, tak mam temer vyhrano. s castou zmenou hesla bude uzivatel stale tapat a dynamika uderu bude chaoticka a nepruhldna -
bazil (neregistrovaný)
(1) Neni mi jasne jak vede vynucovani zmeny hesla k obezretnosti uzivatele.
(2) Jenze to mate predpoklad ze se jiz povedlo prekonat jeden bezpecnostni mechanismus (nepristupnost zasifrovanych hesel). Pokud se tento mechanismus neprekona tak je naopak jednodussi brute-force utok pri vynucovane zmene hesla! (hesla jsou tak vetsinou slabsi a urcite vite ze brute-force se ze zacatku pokusi uhadnout "pravdepodobnejsi" (jednoducha) hesla a ne ze generuje hned vsechny moznosti.)
Cili: Za normalnich okolnosti (hesla jsou skryta) je (vetsinou, zalezi samozrejme jak na koho) utok na menena hesla jednodussi. Pri ziskani sifrovane podoby hesla je jednodussi zjistit heslo pri prilezitostne menenem hesle nez pri pravidelnem. Jednou na jednu stranu, podruhe (pri selhani bezpecnostniho mechanismu!) na druhou. Nevyplyva mi z toho, ze brute-force utok je jednodussi na "stala" hesla.
(3) pri takovemto pristupu ano, ale to neni jediny pristup a pokud mam podezdreni ze doslo k vyzrazeni hesla tak si ho zmenim. Samotnemu vyzrazeni hesla nedokaze vynucovani zmeny hesla zabranit, pouze nekdy jeho nasledkum. Navic nezapomente, ze u hesel ktera se casto meni je nebezpeci vyzrazeni vyssi (uzivatelum se hesla neustale meni, musi si porad pamatovat neco jineho, takze si je napisi na papir...)
(4) mluvite o jednom jedinem scenari a nezapomente ze neuspesne pokusy je velice jednoduche sledovat (jak ze strany uzivatele ktery vidi kdy mel posledni neuspesny pokus o prihlaseni a jednak ze strany automatickeho dohledu ktery tyto neuspesne pokusy muze porovnavat s pritomnosti pracovnika v budove/na pracovisti (pokud mluvite o dynamice uderu na klavesnici je treba si uvedomit ze se to tyka jedne klavesnice -- osobniho pristupu atd.)) Nezavrhuji to, jen upozornuji ze se jedna o velice uzky okraj pripadu a v drtive vetsine pripadu se tomu da jeste predejit nebo to odhalit pri neuspesnem pokusu (pokusech) nebo alespon dodatecne.
(4b) s castou zmenou hesel bude vetsina uzivatelu nove heslo psat ze zacatku pomaleji coz je na odkoukani/odposlechnuti mnohem jednodussi.
Navic vam staci ziskat _stara_ uzivatelova hesla (nekam si je pise a vzdy si to aktualni hlida ale ty stare vyhazuje do kose) a uz muzete odhadovat jake heslo si dal tentokrat. Rekl bych ze tim vyznamne snizite prohledavany prostor a tim zvysite sance uhodnuti nebo treba brute-force utoku :-) -
jam (neregistrovaný)
je velmi tezke obajovat nazor, ktery sam nezdilim :)
1, sam si na to v dalsich bodech odpovidate :)) (pisou si heslo na papirky, bezskrupuli ho prozradi kolegovi, kdyz se ten potrebuje prihlasit na jeho pocitac, nemaji potrebu zmenit heslo, kdyz maji podezreni z jeho vyzrazeni... proste si pockaji az je system sam vyzve...)
2, to ze by se master.passwd "nemel" dostat do cizich rukou, neznamena ze se tam nedostane... bez adminova vedomi.
3, tady opet podporujete muj proti argument (1).
nadruhou stranu jsou uzivatele kteri si heslo sami nezmeni, ani kdyz se dozvedi o jeho prozrazeni, natoz pak pri pohem podezreni.
4, nemam v umyslu Vam vnucovat tuto metodu ani ji sam nasazovat, pouze jsem chtel podporit myslenku autora clanku, ze se jedna o diskutabilni tema. nikoli o axiom (vynuceni zmeny hesla == spatny || dobry)
4a, dynamika uderu je patrna prave pri perfektni znalosti hesla, protze v tom okamziku je chyba (zavahani) zanedbatelna a jedna se ciste o mechanicky limitovane zpezdeni mezi jednotlivymi udery... je jasneji "slyset" kdy byl zmacknuty shift a jak daleko od sebe jsou jednotlive klavesy. pokud uzivatel pise obema rukama da se z dynamicky usoudit jestli po sobe jsouci klavesy jsou ze stejne strany klavesnice, atd, atd... -
bazil (neregistrovaný)
(1) To ze si uziv. pise heslo na papirek a prozradi ho kolegovi je obezretnost? To je uplny opak obezretnosti! Krasne jste to podporil, dekuji :-)
(2) Samozrejme ze ne, ale o nemoznosti jsem se vubec nevyjadroval, porovnaval jsem moznosti.
(3) Nepodporuji, konstatuji. "...u hesel ktera se casto meni je nebezpeci vyzrazeni vyssi" mi nepripada jako podpora vasich argumentu.
(4) Netvrdim ze to je axiom, ostatne prave k debate jsem vyzval (a misto argumentu jsem videl "je to diskutabilni")
(4a) o tom diskutovat nebudu, protoze se mi jeste zadne heslo "odposlechnout" nepodarilo :-) (nekladte mi ale prosim do "ust" ze to vylucuji)
Uz mi to neprijde moc prinosne, bavit se o tom co kdo rekl nebo nerekl a z arumentu delat protiargumenty je celkem k nicemu, mozna bychom si meli pred kazdym dalsim prispevkem precist vzdy cely thread, vzdyt je to tady napsane. -
jam (neregistrovaný)
zda se ze me spatne chapete.
1, ano bod jedna je temer od zacatku v NEPROSPECH CastychZmenHesla. psal jsem:
>>1, souhlasim ze caste vynucovani
>> vede k slabnuti nejen hesla jako
>> takoveho, ale i obezretnosti
>> uzivatele.
tz. rikam ze CZH vede k slabnuti hesla/obezretnosti, na to jste se me ptal proc obezretnosti... odpovedel jsem a mam znova na taliri ze ZCH je blbost a at si to po sobe prectu... znovu opakuji ze nejsem pro CZH, ale pouze chapu cizi pohnutky... uvadim argumenty pro i proti, zatimco Vy pouze ty proti... ktere respektuji.
2, pouze jsem uvadel jednu z moznych cest kde by CZH byla prospesna.
3, podporil jste muj argument (proti CZH) a to ze CZH oslabuje obezretnost uzivatele.
4, nejsem autor clanku ani nezastavam nazor ze CZH je vselek... ale vzhledem k tomu ze diskutujeme, tak se zda ze jeho tvrzeni bylo pravdive :)
4a, ok
