Vlákno názorů k článku
Pět tipů jak zabezpečit svůj SSH server
od Jenda - „Osobně si myslím, že to je spíše nutnost,...
-
Vase uvaha je postavena pouze na brute-force utoku. Predpokladate, ze bude trvat stejne dlouho rozlousknout jmeno + heslo jako heslo roota ve tvaru jmeno+heslo.
Ma to i jina hlediska. Je docela problem blokovat IP utocnika se spatnym heslem - muze to byt kombinace chyby s lenosti usera a to spatne heslo (nevite jestli se pokazde lisi) dela neco automaticky. To se vetsinou nedava na blacklist, jen zpomaluje.
Kazdopadne kdyz nekdo zkusi par neexistujich jmen, je sparavny cas dat ho na blacklist. To nevznikne chybou usera. easy. :)
Ale to je jen pro priklad, neresi to distribuovany utok. Tech moznosti utoku a obran je hodne. Nikdy se neda branit 100%. Dulezite je ale to tomu velkemu mnozstvi horsich hackeru nezjednodusovat. :) -
Franta <xkucf03/> (neregistrovaný)
Dejme tomu, že má někdo uživatelské jméno „pacient“ a heslo „nbusr123“ a pak se přepíná na roota pomocí su a hesla „kalousek456“.
Útočník musí uhodnout jméno (tam nemusí používat bruteforce, ale může ho odvodit) a dvě hesla.
Srovnej to se situací, kdy je povoleno přihlašování roota a jeho heslo je „pacientnbusr123kalousek456“.
Uhodnout toto složené heslo je výrazně složitější než uhodnout postupně jednotlivé jeho složky (když v prvním případě uhodne „nbusr123“, hledá už jen druhou část hesla a nemusí zkoušet tolik kombinací).
Navíc po napadení účtu běžného uživatele může přidat třeba alias pro příkaz su – obalit ho skriptem, který zadané heslo odešle útočníkovi.
Takže nakonec může zákaz přímého přihlášení roota bezpečnost paradoxně snižovat – člověk by si na běžný uživatelský účet musel dávat úplně stejný pozor, jako by to byl účet roota…
P.S. Mnohem důležitější je zákaz hesel a používání klíčů, případně jednorázových hesel.
