Hlavní navigace

Vlákno názorů ke zprávičce Dvacet tipů jak zabezpečit server OpenSSH od Milan Keršláger - Myšlenka, že zakázáním přihlášení roota zvýšíte bezpečnost, je...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 29. 7. 2009 7:23

    Milan Keršláger (neregistrovaný)

    Myšlenka, že zakázáním přihlášení roota zvýšíte bezpečnost, je naprosto zcestná. Možná to platilo v době telnetu, kdy stačilo odposlechnout počátek komunikace, ale dnes to již dávno neplatí. SSH celou komunikaci kvalitně šifruje, takže není možné odposlechnout obsah. Šlo by však na základě rytmu komunikace odhadnout, kolik a jaké klávesy asi byly stisknuty. SSH klient a server to vědí, a proto dodávají do autentizačního počátku vatu, která délku hesla i rytmus zamlží. Pokud se nepřihlásíte jako root, následně použijete příkaz „su“, který si vyžádá heslo roota. Jenže v té době již SSH klient ani server NEVĚDÍ, že zadáváte heslo. Proto nemohou mlžit přidáváním vaty a případný útočník může vhodnou analýzou podstatně zúžit množinu možných hesel. Proto to takhle NIKDY nedělejte. Nicméně samozřejmě platí, že útočník se vydá nejsnadnější cestou, takže pokud nespravujete server u BIS, takový problém vám nehrozí. Leda byste měli pro roota stupidní heslo, které podlehne slovníkovému útoku. Ale pokud je někdo takový pošetilec, zákaz přihlašování roota mu nepomůže. Je to jako visací zámek s petlicí na autě Mr. Beana.

  • 29. 7. 2009 12:38

    Sten (neregistrovaný)

    Zákaz přihlašování na roota má jeden zásadní důvod. Distribuovaně prolomit heslo dnes lze (případně využít nějaké chyby) a proč útočníkovi dávat jednoduše k prolomení jedno heslo, když mu můžete ztížit život tím, že bude muset prolomit navíc i jedno jméno účtu?

    Co se týče toho zadávání hesla po su, to má dvě mouchy: útočník neví, kdy do konzole zadáváte heslo a kdy příkazy, takže tam vata není třeba, zato celkem jasně ví, kdy zadáváte heslo pro SSH, proto ta vata. Druhá věc je sudo. Vhodně nastavené a bez hesla je tak daleko lepší než jednoduché su.

  • 2. 8. 2009 21:40

    Milan Keršláger (neregistrovaný)

    Nemá. Bruteforce se na kvalitní heslo nechytí (počet kombinací je příliš vysoký a počet testů za jednotku času silně limitovaný). Chcete-li bezpečnost, použijete klíč. A pokud používáte heslo, nebudete tak pošetilý, abyste vyřadil existující bezpečnostní opatření (přidávání vaty).