Více správců serveru - delegace root práv

Dan Lukes dan at obluda.cz
Mon Dec 29 22:56:32 CET 2014


On 12/29/14 18:34, Miroslav Prýmek:
> On 12/10/2014 15:03, Dan Lukes wrote:
>> V podstatě díky tomu, že mám ssh puštěné pouze do management sítě a
>> koneckonců i já sám se hlásím rovnou jako root, tak asi kolegovi
>> nebudu vytvářet obyč účet kolega.
>> To je otazka osobnich preferenci. Je to sice ucet dostupny jen z omezene
>> site a ne z celeho sveta, ale ja bych se o ochranu dvojiteho hesla
>> rozhodne nepripravil.

> Dane, mohl bys prosim kratce rozebrat, jake k tomu mas duvody?

> Chrani dvoji zadani hesla (popr. ssh certifikat + su heslo) proti necemu jinemu nez tragicke chybe
> v ssh (nejake obejiti autentizace)?

Nejbeznejsi zpusob prolomeni hesla je "try". At uz slovnikovy nebo 
brutal-force.

Vzhledme k tomu, ze takove utoky probihaji prakticky permanentne, nijak 
zvlast ti nepomuze, ze si je logujes. To bys nedelal nic jinyho, nez 
cetl logy a zakazoval pristupy z ruznych IP adres, jejichz seznam se 
navic neustale modifikuje.

Rekneme, ze mas heslo dlouhe, dobre zvolene, takze pravdepodobnost, ze 
se nekdo trefi je mala.

Tak, a ted se zabyvejme tou, jakkoli malo pravdepodobnou, moznosti, ze 
bude mit stesti a preci jen se trefi. Protoze, jak znamo, nahoda je vul.

Jo, je to blby, ze ziskal pristup. Ale v mem pripade ho rozhodne ziskal 
jen k uctu s beznymi pravy. Musi mit stesti podruhe a trefit i heslo 
superuzivatele. Doufejme, ze se mu to nepodari napoprve ...

A tim se dostavame zpatky k logu. Zatimco hlasky:
authentication error for ... from 115.231.222.171

je dneska asi tak jedine mozny ignorovat, hlaska

BAD SU ...

je neco kardinalne jinyho. Obzvlast, pokud je tam za den vic nez petkrat.

Takze jestli nebude mit fakt takovy stesti aby to heslo superuzivatele 
uhadnul fakt rychle, tak na nej nejspis prijdu. A i na to, ze jedno 
heslo uz uhadnul.

> Ptam se proto, ze nutnost prepinat se na roota ma svoje nevyhody (napr.
> spousteni prikazu pod rootem pres ssh vyzaduje jedno escapovani navic,

Myslis jako, kdyz je tam zdalky injektujes nejakym scriptem ? No, to asi 
ano, ale na takovy script saham sotva jednou za cas. Takze me to zas tak 
klavesnici neopotrebuje.

To uz vic zdrzuje, ze se po prihlaseni musim jeste zopravnit na 
superuzivatele, coz v typickem pripade znamena stisknout sipku nahoru, 
enter, napsat heslo, enter. Kdyz uz jsme tedy u tech poctu stisku klaves.

Ale k tomu tvemu prikladu se scriptem - ja nefandim ani tomu, aby se na 
jednom pocitaci valelo cokoliv, co umioznuje pristup k superuzivateli na 
pocitaci jinem. Rekneme, ze utocnik bude mit fakt stesti na vhodneho 
uzivatele se prolomi. Takze jako bonus ziska pristup jeste i na nejaky 
dalsi stroj nebo dokonce stroje ?

Tak to teda ne. Ja, kdyz potrebuju neco periodicky protlacit neco na 
druhy pocitac a tam to umistit nekam, kam to muze umistit jen 
superuzivatel to delam bud'

1) obracene (data se netlaci z A do B, ale tahnou na B z A)
nebo
2) natlacim to tam normalnimu uzivateli (vytvorenymu k tomuto ucelu). A 
systemovy cron se diva, jestli se u nej neco nezjevilo, a pokud ano, tak 
s tim vhodne nalozi.

je ale pravda, ze ja takhle obvykl enetlacim zadne genericke prikazy. 
Obvykle je vice-mene jasne co se timhle zpusobem stehuje - takze 
prijimaci script (ten spousteny z cronu) muze udelat alespon zakkazni 
overeni, ze to tak nejak zhruba je co by to melo byt a ne neco naprosto 
jinyho ...

Jsem paranoidni ? Jasne. Jsem preci spravce systemu ;-)

> Pokud clovek nema na vsech tech "roota autentizujicich" souborech nastaveny schg a securitylevel aspon 1, tak je to stejne celkem jedno, ne?

Tahle bezpecnost ma uz i na me prilis vysokou cenu.

Dan






More information about the Users-l mailing list