Více správců serveru - delegace root práv

[Vilem Kebrt]

O honeypotech mohu neco napsat, ale musim to trochu pripravit aby to 
melo hlavu a patu. Posledniho pul roku jsem jich nekolik nasazoval a 
analyza vystupu je v me pracovni cinnosti ;)
Momentalne resim nejake problemy ohledne nejakych soukr veci, dejte mi 
trochu prostoru, jakmile doresim soukr. a pracovni zpravu , mohu sem dat 
"hruby souhrn" veci ktere zachycuji nejvice.
Vilem

On 12/31/2014 09:09 AM, Miroslav Prýmek wrote:
>
> On 12/30/2014 10:59 PM, Dan Lukes wrote:
>> Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby 
>> byl potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl 
>> taky, to ale byly platebni karty. 
> Ja to mam ted tak, ze mam klic v tokenu, do ssh-agenta zadam PIN a kde 
> co mam resene pres ssh-agenta* (nekde treba i tu autentizaci roota 
> pres su),
> takze mam dost vysokou jistotu, ze mi klic nikdo neukradne, maximalne 
> ho muze kratkodobe zneuzit, kdyz na tom stroji ziska roota (coz by 
> mohl udleat i s heslem).
> Zadavani PINu na tokenu by byl pro me z hlediska UX krok zpatky, 
> protoze ted mi staci dat enter. Takze muj token snu by obsahoval jenom 
> jedno tlacitko,
> kdyz by mel neco podepsat, tak by se rozsvitil a nepodepsal, dokud by 
> clovek nestiskl tlacitko. Tim by se vyrazne snizila moznost zneuziti a 
> snadnost
> pouziti zustala stejna. Takovy token jsem ale jeste nevidel a neni mi 
> moc jasne, proc se nevyrabi.
>
> * mimochodem, kdyz jsme u toho, zkusil jsem naprogramovat takovy 
> proof-of-concept, jak pomoci ssh-agenta elegantne sifrovat
>   a docela rozumne bezpecne spoustet programy s citlivou konfiguraci: 
> https://github.com/mprymek/cagent
>   Jestli byste nekdo meli cas se na to podivat a dat mi zpetnou vazbu, 
> byl bych moc vdecnej. Zadnym review to neproslo a nijak
>   zvlast si v tomhle neverim, takze na nic kritickyho to nepouzivam...
>
>> Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
>> legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
>> ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
>> sebelepsim kvizem spolehlive objevit nepodari.
>>
>> Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
>> nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
>> toho, kdo si ho vybral.
>>
>> Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
>> ze lze doufat v nejaky "how-to" navod ...
>>
>
> Jasne. Rizika si musi kazdej posoudit sam a zvolit pristup vhodnej pro 
> to ktere nasazeni.
> Spis jsem reagoval na to, ze tady byla treba rec o honeypotech, coz je 
> vec, k jejimuz nasazeni
> jsem se nikdy nedokopal, takze by me dost zajimalo, jake utoky tam 
> lidi nejcasteji
> chytaji a specialne jake je mnozstvi utoku cilenych specificky na 
> FreeBSD.
>
> Protoze clovek by mohl venovat pozornost zabezpeceni neceho, na co se 
> realne neutoci
> a zanedbat neco, na co se utoci...
>
> O howto mi nejde, spis o to, kdo povazuje jaky utok v jakem prostredi 
> za nejpravdepodobnejsi a jakou
> ochranu voli.
>
> M.