Více správců serveru - delegace root práv
Dan Lukes
dan at obluda.cz
Mon Dec 29 22:56:32 CET 2014
On 12/29/14 18:34, Miroslav Prýmek:
> On 12/10/2014 15:03, Dan Lukes wrote:
>> V podstatě díky tomu, že mám ssh puštěné pouze do management sítě a
>> koneckonců i já sám se hlásím rovnou jako root, tak asi kolegovi
>> nebudu vytvářet obyč účet kolega.
>> To je otazka osobnich preferenci. Je to sice ucet dostupny jen z omezene
>> site a ne z celeho sveta, ale ja bych se o ochranu dvojiteho hesla
>> rozhodne nepripravil.
> Dane, mohl bys prosim kratce rozebrat, jake k tomu mas duvody?
> Chrani dvoji zadani hesla (popr. ssh certifikat + su heslo) proti necemu jinemu nez tragicke chybe
> v ssh (nejake obejiti autentizace)?
Nejbeznejsi zpusob prolomeni hesla je "try". At uz slovnikovy nebo
brutal-force.
Vzhledme k tomu, ze takove utoky probihaji prakticky permanentne, nijak
zvlast ti nepomuze, ze si je logujes. To bys nedelal nic jinyho, nez
cetl logy a zakazoval pristupy z ruznych IP adres, jejichz seznam se
navic neustale modifikuje.
Rekneme, ze mas heslo dlouhe, dobre zvolene, takze pravdepodobnost, ze
se nekdo trefi je mala.
Tak, a ted se zabyvejme tou, jakkoli malo pravdepodobnou, moznosti, ze
bude mit stesti a preci jen se trefi. Protoze, jak znamo, nahoda je vul.
Jo, je to blby, ze ziskal pristup. Ale v mem pripade ho rozhodne ziskal
jen k uctu s beznymi pravy. Musi mit stesti podruhe a trefit i heslo
superuzivatele. Doufejme, ze se mu to nepodari napoprve ...
A tim se dostavame zpatky k logu. Zatimco hlasky:
authentication error for ... from 115.231.222.171
je dneska asi tak jedine mozny ignorovat, hlaska
BAD SU ...
je neco kardinalne jinyho. Obzvlast, pokud je tam za den vic nez petkrat.
Takze jestli nebude mit fakt takovy stesti aby to heslo superuzivatele
uhadnul fakt rychle, tak na nej nejspis prijdu. A i na to, ze jedno
heslo uz uhadnul.
> Ptam se proto, ze nutnost prepinat se na roota ma svoje nevyhody (napr.
> spousteni prikazu pod rootem pres ssh vyzaduje jedno escapovani navic,
Myslis jako, kdyz je tam zdalky injektujes nejakym scriptem ? No, to asi
ano, ale na takovy script saham sotva jednou za cas. Takze me to zas tak
klavesnici neopotrebuje.
To uz vic zdrzuje, ze se po prihlaseni musim jeste zopravnit na
superuzivatele, coz v typickem pripade znamena stisknout sipku nahoru,
enter, napsat heslo, enter. Kdyz uz jsme tedy u tech poctu stisku klaves.
Ale k tomu tvemu prikladu se scriptem - ja nefandim ani tomu, aby se na
jednom pocitaci valelo cokoliv, co umioznuje pristup k superuzivateli na
pocitaci jinem. Rekneme, ze utocnik bude mit fakt stesti na vhodneho
uzivatele se prolomi. Takze jako bonus ziska pristup jeste i na nejaky
dalsi stroj nebo dokonce stroje ?
Tak to teda ne. Ja, kdyz potrebuju neco periodicky protlacit neco na
druhy pocitac a tam to umistit nekam, kam to muze umistit jen
superuzivatel to delam bud'
1) obracene (data se netlaci z A do B, ale tahnou na B z A)
nebo
2) natlacim to tam normalnimu uzivateli (vytvorenymu k tomuto ucelu). A
systemovy cron se diva, jestli se u nej neco nezjevilo, a pokud ano, tak
s tim vhodne nalozi.
je ale pravda, ze ja takhle obvykl enetlacim zadne genericke prikazy.
Obvykle je vice-mene jasne co se timhle zpusobem stehuje - takze
prijimaci script (ten spousteny z cronu) muze udelat alespon zakkazni
overeni, ze to tak nejak zhruba je co by to melo byt a ne neco naprosto
jinyho ...
Jsem paranoidni ? Jasne. Jsem preci spravce systemu ;-)
> Pokud clovek nema na vsech tech "roota autentizujicich" souborech nastaveny schg a securitylevel aspon 1, tak je to stejne celkem jedno, ne?
Tahle bezpecnost ma uz i na me prilis vysokou cenu.
Dan
More information about the Users-l
mailing list