Více správců serveru - delegace root práv
Vilem Kebrt
vilem.kebrt at gmail.com
Fri Jan 2 07:54:14 CET 2015
O honeypotech mohu neco napsat, ale musim to trochu pripravit aby to
melo hlavu a patu. Posledniho pul roku jsem jich nekolik nasazoval a
analyza vystupu je v me pracovni cinnosti ;)
Momentalne resim nejake problemy ohledne nejakych soukr veci, dejte mi
trochu prostoru, jakmile doresim soukr. a pracovni zpravu , mohu sem dat
"hruby souhrn" veci ktere zachycuji nejvice.
Vilem
On 12/31/2014 09:09 AM, Miroslav Prýmek wrote:
>
> On 12/30/2014 10:59 PM, Dan Lukes wrote:
>> Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby
>> byl potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl
>> taky, to ale byly platebni karty.
> Ja to mam ted tak, ze mam klic v tokenu, do ssh-agenta zadam PIN a kde
> co mam resene pres ssh-agenta* (nekde treba i tu autentizaci roota
> pres su),
> takze mam dost vysokou jistotu, ze mi klic nikdo neukradne, maximalne
> ho muze kratkodobe zneuzit, kdyz na tom stroji ziska roota (coz by
> mohl udleat i s heslem).
> Zadavani PINu na tokenu by byl pro me z hlediska UX krok zpatky,
> protoze ted mi staci dat enter. Takze muj token snu by obsahoval jenom
> jedno tlacitko,
> kdyz by mel neco podepsat, tak by se rozsvitil a nepodepsal, dokud by
> clovek nestiskl tlacitko. Tim by se vyrazne snizila moznost zneuziti a
> snadnost
> pouziti zustala stejna. Takovy token jsem ale jeste nevidel a neni mi
> moc jasne, proc se nevyrabi.
>
> * mimochodem, kdyz jsme u toho, zkusil jsem naprogramovat takovy
> proof-of-concept, jak pomoci ssh-agenta elegantne sifrovat
> a docela rozumne bezpecne spoustet programy s citlivou konfiguraci:
> https://github.com/mprymek/cagent
> Jestli byste nekdo meli cas se na to podivat a dat mi zpetnou vazbu,
> byl bych moc vdecnej. Zadnym review to neproslo a nijak
> zvlast si v tomhle neverim, takze na nic kritickyho to nepouzivam...
>
>> Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
>> legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
>> ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
>> sebelepsim kvizem spolehlive objevit nepodari.
>>
>> Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
>> nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
>> toho, kdo si ho vybral.
>>
>> Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
>> ze lze doufat v nejaky "how-to" navod ...
>>
>
> Jasne. Rizika si musi kazdej posoudit sam a zvolit pristup vhodnej pro
> to ktere nasazeni.
> Spis jsem reagoval na to, ze tady byla treba rec o honeypotech, coz je
> vec, k jejimuz nasazeni
> jsem se nikdy nedokopal, takze by me dost zajimalo, jake utoky tam
> lidi nejcasteji
> chytaji a specialne jake je mnozstvi utoku cilenych specificky na
> FreeBSD.
>
> Protoze clovek by mohl venovat pozornost zabezpeceni neceho, na co se
> realne neutoci
> a zanedbat neco, na co se utoci...
>
> O howto mi nejde, spis o to, kdo povazuje jaky utok v jakem prostredi
> za nejpravdepodobnejsi a jakou
> ochranu voli.
>
> M.
More information about the Users-l
mailing list