Dvacet tipů jak zabezpečit server OpenSSH

Oněch „20 zásad bezpečnosti“ jsou spíše poznámky možností OpenSSH, není to žádné dvacatero, například nastavovat idle timeout u stroje, kam se přihlašuji z osobních počítačů, je blbost. Nebo login jako root, to abych citoval:

Saying „don't login as root“ is horseshit. It stems from the days when people sniffed the first packets of sessions so logging in as yourself and su-ing decreased the chance an attacker would see the root pw, and decreast the chance you got spoofed as to your telnet host target, You'd get your password spoofed but not root's pw. Gimme a break. this is 2005 – We have ssh, used properly it's secure. used improperly none of this 1989 will make a damn bit of difference. -Bob

Myšlenka, že zakázáním přihlášení roota zvýšíte bezpečnost, je naprosto zcestná. Možná to platilo v době telnetu, kdy stačilo odposlechnout počátek komunikace, ale dnes to již dávno neplatí. SSH celou komunikaci kvalitně šifruje, takže není možné odposlechnout obsah. Šlo by však na základě rytmu komunikace odhadnout, kolik a jaké klávesy asi byly stisknuty. SSH klient a server to vědí, a proto dodávají do autentizačního počátku vatu, která délku hesla i rytmus zamlží. Pokud se nepřihlásíte jako root, následně použijete příkaz „su“, který si vyžádá heslo roota. Jenže v té době již SSH klient ani server NEVĚDÍ, že zadáváte heslo. Proto nemohou mlžit přidáváním vaty a případný útočník může vhodnou analýzou podstatně zúžit množinu možných hesel. Proto to takhle NIKDY nedělejte. Nicméně samozřejmě platí, že útočník se vydá nejsnadnější cestou, takže pokud nespravujete server u BIS, takový problém vám nehrozí. Leda byste měli pro roota stupidní heslo, které podlehne slovníkovému útoku. Ale pokud je někdo takový pošetilec, zákaz přihlašování roota mu nepomůže. Je to jako visací zámek s petlicí na autě Mr. Beana.

Zákaz přihlašování na roota má jeden zásadní důvod. Distribuovaně prolomit heslo dnes lze (případně využít nějaké chyby) a proč útočníkovi dávat jednoduše k prolomení jedno heslo, když mu můžete ztížit život tím, že bude muset prolomit navíc i jedno jméno účtu?

Co se týče toho zadávání hesla po su, to má dvě mouchy: útočník neví, kdy do konzole zadáváte heslo a kdy příkazy, takže tam vata není třeba, zato celkem jasně ví, kdy zadáváte heslo pro SSH, proto ta vata. Druhá věc je sudo. Vhodně nastavené a bez hesla je tak daleko lepší než jednoduché su.

Nemá. Bruteforce se na kvalitní heslo nechytí (počet kombinací je příliš vysoký a počet testů za jednotku času silně limitovaný). Chcete-li bezpečnost, použijete klíč. A pokud používáte heslo, nebudete tak pošetilý, abyste vyřadil existující bezpečnostní opatření (přidávání vaty).

jedno opodstatnenie ma. Nikto netusi [zistit to moze, ale to komplikuje automaticke kobercove nalety], ake ucty mam na servri. root je ale uplne vsade. Takze ked pojdem bruteforce utokom, vyberiem si login root-a, pretoze viem, ze taky login existuje. Naco skusat bruteforce na „john“, ked taky login na masine pravdepodobne ani nie je?

to je ptakovina..jak rikal typek pred tebou…dobre heslo bruteforcem neprolomis i kdyby ses rozkrajel..navic ja jedu na vsechny rooty pres certifikat(za­heslovany)..tak­ze tudy cesta nikdy nevede..navic omezis pocet pokusu v iptables nebo nekde a proste no chance