Re: SSHD - zwingend nötig?

From: Polytropon <freebsd(at)edvax.de>
Date: Fri, 26 Jun 2015 04:27:23 +0200



On Thu, 25 Jun 2015 17:29:40 +0200 (CEST), Oliver Fromme wrote:


> Polytropon <freebsd(at)edvax.de> wrote:


>  > On Mon, 15 Jun 2015 18:20:23 +0200, Andreas Mueller wrote:


>  > > Allerdings hast du Recht. Total sicher kann man nie sein. Jedenfalls ist


>  > > der root Login über SSH deaktiviert (glaube dass es standardmäßig so


>  > > ist) und man hat auch keine nervige Logs.


>  > 


>  > Richtig, das ist die Standardeinstellung. Die Empfehlung ist ja


>  > die Verwendung von su, sudo oder super. Ich glaube, es war OpenBSD,


>  > welches sogar lokal empfiehlt, "don't login as root, use su".


> 


> Das war schon die Empfehlung, lange bevor OpenBSD überhaupt


> existierte.  Es kann allerdings sein, dass OpenBSD diese


> Policy per Default erzwingt.  FreeBSD tut das nicht (siehe


> die Einträge mit "secure" in /etc/ttys).



Aus meiner OpenBSD-Zeit erinnere ich mich, daß das nicht


erzwungen wurde, aber als "wohlgemeinter Rat" nach dem


Login als Text ausgeschrieben worden ist. Eine normale


root-Shell bekam man aber trotzdem.



> Man kann darüber streiten, wie sinnvoll das ist.  Einen


> Angreifer mit physikalischem Zugriff auf den Rechner hält


> es im Normalfall nicht nennenswert auf, es sei denn, man


> trifft eine Reihe weiterer, teils aufwendiger Maßnahmen.


> So ein PC hat mehr potentielle Einfallstore, als die


> meisten ahnen.



Das menschliche Tor (oder "der", je nachdem) ist oft das


gefährlichste, aber auch Bequemlichkeits-Automatismen


können schnell unberechtigt vom !root- zum root-Zugang


führen. Und dann wäre da ja noch die bekannte und


beliebte "curl http://getmyapp.example.com/ | sudo bash"-


Methode, die in den letzten Jahren sehr beliebt geworden


zu sein scheint... :-)



> Zwischen der su-Shell und der normalen Benutzer-Shell kann


> man jederzeit mit "suspend" und "fg" wechseln, so dass man


> nicht ständig erneut das root-Passwort eingeben muss.  (Es


> gibt natürlich auch noch andere Möglichkeiten, z.B. per


> screen(1), aber je weniger "fremde" Programme imvolviert


> sind, umso besser).



Interessant, an diese Idee hatte ich bisher noch nicht


gedacht. Naja, vermutlich eine Folge der multiplen xterm-


Bestrahlung, der ich jahrelang ausgesetzt bin... :-)



> Man sollte natürlich (1.) eine root-Shell nur für die Dinge


> verwenden, für die sie wirklich benötigt wird, und (2.) eine


> root-Shell nicht unnötig ständig im Hintergrund herumhängen


> haben.



Das versteht sich von selbst, sonst könnte man ja gleich


alles im SUM machen. :-)



> Last but not least:  Für Standard-Aufgaben, die root-Rechte


> benötigen, kann man sich auch kleine Programme oder Skripte


> schreiben, denen man mit "sudo" oder "super" (mein Favorit)


> root-Rechte verpasst.  Dann braucht man dafür nicht jedesmal


> eine root-Shell.  Beim Schreiben der Programme bzw. Skripte


> und der sudo-/super-Konfiguration sollte man natürlich wissen,


> was man tut.  Sonst bohrt man sich leicht Löcher ins System.



Zumal auf Systemen, auf denen mehrere Administratoren


arbeiten (müssen) die Nachverfolgbarkeit von als root


getätigten Aktionen nicht so gut ist. Hier kann man mit


den Logging-Funktionen und selektiven Erlaubnissen von


tools wie "sudo" oder "super" gut arbeiten - und sich bei


vertrauenswürdigem Personal auch die Herausgabe des root-


Paßwort sparen. Das ist fast wie RBAC unter Solaris, aber


auch nur fast. :-)



> Wie wäre es mit:


> 


>         **** CBM BASIC V2 ****


>         3583 BYTES FREE


>         READY.


>         _



Ich kontere mit:



        HC-BASIC


        


        MEMORY END ? : 


        47854 BYTES FREE



        OK


	>_



und treibe den potentiellen Einlogger damit in den Wahnsinn. :-)



> Oder das Spiel-Menü aus dem Kultfilm "Wargames":


> 


>         LOGON: Joshua


>         


>         GREETINGS PROFESSOR FALKEN.


>         


>         SHALL WE PLAY A GAME?


>         


>         Game List


> 


>         TIC-TAC-TOE        


>         FALKEN'S MAZE


>         BLACK JACK


>         GIN RUMMY


>         HEARTS


>         BRIDGE


>         CHECKERS


>         CHESS


>         POKER


>         FIGHTER COMBAT


>         GUERILLA ENGAGEMENT


>         DESERT WARFARE


>         AIR-TO-GROUND ACTIONS


>         THEATERWIDE TACTICAL WARFARE


>         THEATERWIDE BIOTOXIC AND CHEMICAL WARFARE


>         


>         GLOBAL THERMONUCLEAR WAR


>         


> 	_



Man beachte: "LOGON", nicht "LOGIN".



Wenn wir uns schon Klassiker an den Kopf werfen, dann darf


dies hier aus "Tron" nicht fehlen:



        ACCESS CODE 6.


        PASSWORD SERIES PS 17.


        REINDEER FLOTILLA



        Terminate control mode.


        Activate Matrix storage.



        REQUEST:


                _



Dann sollte man vielleicht die Sitzungen aufzeichnen und


die "Best of" veröffentlichen. Schade, daß man das Gesicht


der Hacker nicht... obwohl... Webcam... "Windows"... das


wäre doch mal 'ne Maßnahme! ;-)



-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 26 Jun 2015 - 04:27:34 CEST













search this site