abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 809 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Jak vytvorit uzivatele root2

24.10.2007 22:23 novyroot
Jak vytvorit uzivatele root2
Přečteno: 6558×
Ahoj

Poradite prosim jak vytvorit uzivatele root2 se stejnymi pravomocemi jako root. Jen aby se jmenoval root2 a mel jine heslo, a aby bylo mozne se prihlasit po siti co by root2 pres ssh.

Predem dekuji za odpoved.

Odpovědi

24.10.2007 22:27 jindol | skóre: 2
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
staci kdyz si vytvoris uzivatele a potom v /etc/passwd mu zmenis UID na 0(nula).
25.10.2007 08:38 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
adduser --non-unique --uid 0 root2
25.10.2007 12:20 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
nez delat dalsiho roota bych doporucoval vytvorit obycejny uzivatelsky ucet a umoznit prepnuti na roota pomoci sudo. prihlasovani proimo na roota povazuji za nedobre a melo by byt zakazano.
25.10.2007 12:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
prihlasovani proimo na roota povazuji za nedobre a melo by byt zakazano

Proč? Předem upozorňuji, že pseudoargument "protože se to říká" resp. "psali to v příručce" neberu.

25.10.2007 13:08 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A jestli mohu poprosit, vynechte také argumenty, které už jsem vyvracel v dřívější diskusi na toto téma (a tady je ještě jedna).
25.10.2007 14:00 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
zda se, ze se potrefene husy ozvaly ;-)
moje duvody jsou nasledujici (stare diskuze k tematu ted cist nehodlam):
- pokud zna heslo na roota vic lidi, muze byt dohledatelne jen obtizne nebo vubec kdo se na nej prihlasil (napriklad pri prihlaseni z dynamicke adresy) a co tam pripadne delal
- pokud clovek znajici heslo roota odejde, musi se heslo zmenit a predat ho vsem ostatnim; pri pouziti sudo nebo super staci zrusit/uzamknout uzivateli ucet
- obdobne jako ve druhem bode to plati kdyz nekomu davame jen docasny pristup
a urcite bych nasel jeste neco dalsiho. preji vam prijemnou hadku, dal se do ni zapojovat nehodlam.
25.10.2007 14:30 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A vsechny tyto vyhody padaji v pripade vice root-uctu s ruznymi jmeny - pak ty ucty maji ruzna hesla.
25.10.2007 15:34 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
No, jelikož může jeden root změnit ostatním rootům hesla, tak je "zabezpečení" heslem v tomto případě na okrasu.
When your hammer is C++, everything begins to look like a thumb.
25.10.2007 16:13 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Něco mi říká, že by si toho ten druhý root možná všimnul :)
25.10.2007 17:15 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ano, ale bylo by to asi tak jediné, co by mohl udělat ;-)
When your hammer is C++, everything begins to look like a thumb.
25.10.2007 17:48 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Z čehož je zřejmé, že zabezpečovat systém před někým tím způsobem, že mu *dáme* roota není nejlepší nápad :)
Josef Kufner avatar 28.10.2007 17:07 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nemusí. Pokud ten druhý root bude třeba spát nebo bude na obědě, může první, zlý, root změnit jeho heslo, přihlásit se napáchat nějakou nekalost, odhlásit se, vrátit* původní heslo a uklidit po sobě. Vina padne na toho druhého a nikdo si ničeho nevšimne.

* Vrácení hesla může proběhnout např. zkopírováním hashe z /etc/shadow a následného nakopírování zpět. To že ho druhý root nezná vůbec nevadí.
Hello world ! Segmentation fault (core dumped)
25.10.2007 14:35 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
-pokud clovek znajici heslo roota odejde, musi se heslo zmenit a predat ho vsem ostatnim; pri pouziti sudo nebo super staci zrusit/uzamknout uzivateli ucet
- obdobne jako ve druhem bode to plati kdyz nekomu davame jen docasny pristup

Zrovna tyto dva argumenty bych nechal spát někde hluboko v houští a vůbec bych je nevytahoval na světlo... Platí, že "jednou root, vždycky root". Pokud někdo rootový přístup na mašinu měl, lze mu jej bezpečně odebrat pouze kompletní přeinstalací celého stroje. Nic takového jako "dočasný" root prostě neexistuje.

26.10.2007 17:40 Smajchl | skóre: 39 | blog: Drzy_Nazory | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
v praxi docela bezne a hesla bejvaj: Tomas, Sparta, heslo44 apod. Dokonce to heslo daj i studentovi, kterej u nich dela dva tejdny... kruta realita
My máme všechno co chcem, my máme dobrou náladu!
28.10.2007 05:59 ####
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
realita je takova, ze kdyz vyhodis spravce, tak mas preinstalovat vsechno co mel na starosti protoze nejvic soudne prokazanych bezpecnostnich zneuziti pochazi od "odejitych" zamestnancu z IT spravy...
28.10.2007 08:13 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
:-)

Tohle povyprávěj ve firmě, kde měl správce na starosti 150 serverů, kde většina je vprovozu nonstop...
-- Nezdar není hanbou, hanbou je strach z pokusu.
25.10.2007 16:12 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
tady jde zrejme o nepochopeni toho co se tu resi

tazatel chce mit dalsi ucet s uid 0 - tento ucet ma vlastni login heslo tudiz neni problem aby kazdy znal jen jedno heslo k prave jednomu uctu rootX - takze ani nezna jedno heslo vic lidi, ani neni problem kdyz ten clovek odejde protoze se proste zablokuje rootY a stejne tak i "docasny' pristup

oproti pouziti sudo je tohle reseni maximalne jen min konfigurovatelne - se sudo jde uzivateli/skupinepovolit pristup jen k vybranym castem systemu pod uid 0
25.10.2007 16:18 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
tudiz neni problem aby kazdy znal jen jedno heslo k prave jednomu uctu rootX - takze ani nezna jedno heslo vic lidi, ani neni problem kdyz ten clovek odejde protoze se proste zablokuje rootY

Tak to zase tak úplně ne. Pokud někdo má přístup do systému "na roota" (tedy UID=0), není pro něj moc velký problém se dostat k heslům ostatních "rootů", a to i bez crackování /etc/shadow. Stačí třeba nechat si to heslo odposlechnout, až se druhý bude přihlašovat.

25.10.2007 21:10 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
coz se ale muze odposlechnout i od jakehokoliv uzivatele takze timhle trpi i reseni se sudo
25.10.2007 21:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Když si projdete ty dvě starší diskuse, na které jsem tu dával odkaz, zjistíte, že jsem nikdy netvrdil, že nutnost používat sudo něco řeší.
26.10.2007 11:10 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jasne. ja taky nepolemizuju s vami ale s tomasgn.
26.10.2007 18:15 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nechce sa mi citat tie starsie diskusie, takze mozno pre teba ziadny novy argument: Zvysenie bezpecnosti. Ochrana systemu by sa mala zakladat na vrstvach - utocnik musi prekonat niekolko vrstiech ochran a az potom kompletne prenikne do systemu. Ak nepovolis priame prihlasovanie na roota, pridas tym dalsiu vrstvu (= zvysis bezpecnost systemu) - bude nutne 'preniknut' minimalne cez dve hesla miesto jedneho. Pripadne este dalsia vrstva - na roota sa moze 'su-nut' len konkretny user (to sa da lahko nastavit napr. cez PAM).
26.10.2007 18:17 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Tuto úvahu už jsem podrobně vyvracel dřív, podívejte se do těch starších diskusí.
26.10.2007 18:51 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Tak ma bud presne na to nasmeruj alebo sme skoncili :) Mimochodom, mam to chapat tak, ze si zastancom 'PermitRootLogin yes' v SSH ?
26.10.2007 19:03 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
'PermitRootLogin yes'?
co je na tom spatneho? to mam na vsech svych serverech.
26.10.2007 19:21 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
:D
26.10.2007 20:21 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Že voni tam vůbec tu možnost do konfigurace ssh dávali :D Já bych ji zrušil a byl by klid, lidi by se víc věnovali "opravdovému zabezpečení ala M.K." :D
26.10.2007 20:38 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
aby sis to mohl nastavit, jak je libo. jinak zatim ve vsech distribucich, se kteryma jsem mel tu cest je tam defaultne 'yes'
26.10.2007 20:54 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
zeby preto, aby si sa tam napr. v pripade remote install mohol nasledne lognut ? :) co je to vobec za logiku, ze ak je nieco nastavene defaultne po instalacii, tak je ok a moze to tak navzdy ostat ?
26.10.2007 21:24 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
vsechno ne, ale toto zrovna ano. jsou tam jine volby, ktere je potreba zmenit.
26.10.2007 22:11 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja ti len hovorim, ze to tvoje 'lebo je to tak default' nie je argument.
26.10.2007 22:18 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kdyby to bylo nebezpecne, tak by to default nebylo
26.10.2007 22:23 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
boze moj :) ty si vazne taky naivny ?
26.10.2007 22:37 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
naivni je ten, kdo tam da 'no' a mysli si, ze je v pohode
26.10.2007 22:54 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
coze ? :)) mozes mi to podlozit nejakymi argumentami ? prosim ta vynechaj tie tvoje typu 'lebo to tak maju distra standardne' :) ak veris tomu, co hovoris, tak je to s tebou ako adminom velmi zle ;) este som nepocul taky nazor, ze ak je nieco defaultne nejako nastavene, tak to urcite nebude nebezpecne.
26.10.2007 22:58 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Spíš bych očekával nějaký argument od vás. Zatím jste zde pouze ukázal, že existuje konfigurační volba PermitRootLogin, což je přibližně stejně „silný“ argument jako odhalení její výchozí hodnoty v distribucích.
26.10.2007 23:07 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
treba citat cele vlakno. nehovor mi, ze si tiez jeden z tych, co si myslia, ze default nastavenie je isto bezpecne :)
26.10.2007 23:18 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Na rozdíl od vás jsem četl nejen celé vlákno, ale i diskuze odkazované Michalem. Právě proto od vás očekávám nějaký opravdový argument. Jak píšu již v předchozím příspěvku, zatím jste zde pouze konstatoval, že existuje jistá volba v nastavení OpenSSH daemona, což za argument skutečně nelze považovat.

Diskuze o tom, jaké používám nastavení já, je dle mého názoru bezpředmětná. Pokud vám to však udělá dobře, tak mé nastavení je přibližně v tomto duchu: PasswordAuthentication no, ChallengeResponseAuthentication no, PubkeyAuthentication yes. Máte k němu snad nějaké připomínky?
26.10.2007 23:27 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
tu
26.10.2007 23:10 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
uz 4 hodiny se tady hadame o jedne blbe direktive v sshd_config, jejiz nastaveni nema na bezpecnost systemu vubec zadny vliv, tak nevim, co ches za argumenty.
26.10.2007 23:17 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jejiz nastaveni nema na bezpecnost systemu vubec zadny vliv, tak nevim, co ches za argumenty.

praveze sa ti snazim vysvetlit, ze to vplyv ma (samozrejme nie velky, ale ma - malo je vzdy viac ako nic).
26.10.2007 23:27 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kdybych mel 'no', tak musim neustale bouchat do klavesnice bud heslo roota a nebo uzivatele s pravy k sudo. takhle nemusim nic, ani ty hesla vlastne nemusim znat. takze ano ma to vliv, yes=vetsi bezpecnost.
26.10.2007 23:17 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jinak k tomu defaultu - nebudem tady rozpoutavat flame o tom, ktera distribuce je lepsi nebo horsi, ale v te me nejmenovane jsem zatim zadne vylozene nebezpecne defaultni nastaveni neobjevil. mate pravdu, ze kdyz je neco default, neni to nutne bezpecne, ale u PermitRootLogin to plati.
26.10.2007 23:25 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
nechapm o akom flame-e to hovoris, ja som nemenoval ziadne distra a ani som nehovoril, ze je nejake lepsie, ako ine. to, ze si ziadne nebezpecne default hodnoty neobjavil, neznamena, ze tam nie su (mozno si len myslis, ze tam nie su :) ). avsak vidim, ze ta nepresvedcim (ani ty mna), takze nema zmysel v tomto dalej pokracovat (uz sme to tu aj tak dost 'zasrali').
26.10.2007 23:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Poněkud pochybná bývá (v distribucích poměrně častá) defaultní hodnota 'Protocol 2,1', ale ani ta není nebezpečná sama o sobě, ale jen v případě, že byste byl tak nerozumný, že byste SSH verze 1 opravdu použil. Asi tak jako není a priori chybou mít spuštěný telnet server (za předpokladu, že v něm není díra), ale hrubou chybou by bylo ho používat.
26.10.2007 23:36 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Asi tak jako není a priori chybou mít spuštěný telnet server (za předpokladu, že v něm není díra), ale hrubou chybou by bylo ho používat.

vidim, ze nase nazory na bezpecnost sa znacne lisia. naco ho mat spusteny, ked ho nechces pouzivat (tym nevravim, ze je ok pouzivat telnet) ? vies na 100% povedat, ze v nom ziadna chyba nie je ? kazda sluzba, ktoru nepotrebujes, by mala byt vypnuta.
26.10.2007 23:44 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ach jo. Mohl byste, prosím, odpovídat na to, co jsem napsal, místo toho, jak jste si to překroutil? Napsal jsem snad někde, že je dobré (užitečné, k něčemu...) ten telnet server mít spuštěný? Ne. Nikde. Jen jsem napsal, že to samo o sobě není dírou do systému. A výslovně jsem zdůraznil, že za předpokladu, že v něm chyba není. S úšklebkem pak dodávám, že za předpokladu, že v tom programu není chyba, jsem si opravdu stoprocentně jistý, že v něm chyba není.
26.10.2007 23:51 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ale to je tvoj problem! mas k tomu celemu zly pristup. uz z principu je zle mat spustenu akukolvek sluzbu, ktoru nepotrebujes. ako mozes do bezpecnosti tahat nejake 'predpoklady' ? ty si proste nikdy nemozes byt isty, ze v niecom nie je chyba a preto ma byt vsetko, co nevyhnutne nepotrebujes, vypnute.

pripada mi to ako keby si teraz hovoril nieco taketo: za predpokaldu, ze ma nikdo nehackne, nemusim rootovi davat ziadne heslo cize sa mi ulahci prihlasovanie.
26.10.2007 23:58 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

To je marné. Vy prostě odmítáte vnímat, co píšu, a zarputile reagujete na něco, co jste si sám vymyslel a mně to jen podsouváte.

pripada mi to ako keby si teraz hovoril nieco taketo: za predpokaldu, ze ma nikdo nehackne, nemusim rootovi davat ziadne heslo cize sa mi ulahci prihlasovanie

To není tak úplně pravda. Činnost, kdy se někdo zkusí přihlásit pod uživatelem root a nebude ani dotázán na heslo, bych asi slovem "hackne" neoznačil. Ale pokud by ta věta začínala třeba "za předpokladu, že se na můj počítač nikdo cizí nepřihlásí", tak se vám pod takové tvrzení milerád podepíšu. Zkusím hádat: vy jste asi žádné základy matematické logiky neabsolvoval, že?

27.10.2007 11:25 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zkusím hádat: vy jste asi žádné základy matematické logiky neabsolvoval, že?

mam za sebou maticky gympel a momentalne studujem 3. rok na matfyze. ty mas ake matematicke vzdelanie ?

ak do bezpecnosti tahas nejake predpokaldy, tak je to zo zakladu chybne myslenie. mimochodom, neviem co ma matematika s informacnou bezpecnostou (kedze ju sem zrazu tahas).
27.10.2007 11:31 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
mam za sebou maticky gympel a momentalne studujem 3. rok na matfyze

Pak byste ovšem měl vědět, co je to implikace a že pokud napíšu "z A plyne B", neříkám tím zhola nic o tom, zda platí jednotlivé výroky A a B.

mimochodom, neviem co ma matematika s informacnou bezpecnostou

Právě tady asi bude ta základní chyba. Protože zabezpečit systém znamená především informace vyhodnocovat a analyzovat. A v tom se bez logiky neobejdete. Nemluvě o tom, že veškerá kryptografie je samozřejmě jen aplikovaná matematika.

27.10.2007 11:38 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pak byste ovšem měl vědět, co je to implikace a že pokud napíšu "z A plyne B", neříkám tím zhola nic o tom, zda platí jednotlivé výroky A a B.

chyba je v tom, ze sa na bezpecnost snazis aplikovat principy matematickej logiky. bezpecnost realne takto proste nefunguje (mozno v ucebniciach ano).
a cryptografia je samostatna veda, nezaobera sa zabezpecovanim ale utajovanim.
27.10.2007 11:58 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
chyba je v tom, ze sa na bezpecnost snazis aplikovat principy matematickej logiky

To ale není chyba. Chyba je, že vy to neděláte a řídíte se prvním dojmem místo toho, abyste problém analyzoval do hloubky.

cryptografia je samostatna veda, nezaobera sa zabezpecovanim ale utajovanim

S tím slovem "utajování" by se dalo polemizovat, ale budiž. Hlavně si ale povšimněte, jak velká část bezpečení problematiky je postavena právě na aplikacích této vědy?

27.10.2007 12:12 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To ale není chyba. Chyba je, že vy to neděláte a řídíte se prvním dojmem místo toho, abyste problém analyzoval do hloubky.

ok, rob si bezpecnost ako chces, kludne si predpokladaj aj idealne stavy a zakladaj si na nich :) tvoja vec a tvoja chyba. ja ti len hovorim, ze bezpecnost s nejakymi predpokladmi nejde dokopy. a myslim si opak, teda ze pravy ty nejdes do hlbky (ja urcite idem) - avsak dohadovat sa o tomto s tebou nejdem, nemalo by to konca.
27.10.2007 12:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
No, když myslíte, že papouškování frází z příručky znamená "jít do hloubky", váš problém… (a vašich zákazníků, samozřejmě)
27.10.2007 12:25 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ale ved presne to robis ty a nie ja :)
28.10.2007 03:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Já nic nepapouškuji, já aplikuji logiku. Zato vy tvrdíte, že logicky uvažovat je chybný přístup…
27.10.2007 10:54 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Mít spuštěné služby, které se nepoužívají, je z bezpečnostního hlediska chyba a je to potenciální díra do systému (== vyšší riziko že ji někdo najde, protože tam prostě JE). Nic jako "absolutní bezpečnost" či "absolutní jistota" či "absolutně bezpečná služba" totiž neexistuje, je to jen chiméra některých jedinců.
27.10.2007 11:05 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Prosím vás, aby tato část diskuse měla aspoň trochu smysl, nastudujte si aspoň naprosté základy logiky a zaměřte se zejména na to, jak funguje implikace. Pak totiž pochopíte, co jsem skutečně napsal, a přestanete se snažit o vyvracení něčeho, co v mých příspěvcích není a nikdy nebylo.
31.10.2007 02:10 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To vaše logické uvažování má ale docela díry kolego :D Asi tak jako není a priori chybou mít spuštěný telnet server (za předpokladu, že v něm není díra), ale hrubou chybou by bylo ho používat.

Takže víme, že dle vás není a priori chybou mít spuštěný telnet. Taky víme, že je chybou telnet používat. Používat nespuštěný telnet nejde, takže dále budeme uvažovat jen případy, kde je server spuštěný.

Když je server spuštěný, tak ho buď používám, nebo nepoužívám a na obé máte názor buď "je chyba", nebo "není chyba". Víme, že na používání máte názro "je chyba". Teď zbývá jen odhalit, jaký názor máte na nepoužívání.

Řekněme, že na nepoužívání telnetu (který je spuštěný, jen připomínám) máte názor "je chyba". Pokud ale pro spuštěný telnet ať už je nebo není používán máte názor "je chyba", pak je váš názor i to, že "mít spuštěný telnet je apriori chyba". Což je ve sporu s vaším tvrzením. Takže zbývá poslední možnost (spuštěnost serveru a používání jsou konstatní) že mít spuštěný server a nepoužívat ho není chyba.

Jo leda... leda že byste uvažoval další předpoklady, o kterých jste se nám nezmínil, jako třeba že není chyba mít spuštěný telnet na pc které je na dně Orlíku, není připojené k internetu a podobně :D Tak v tom případě se omlouvám :D
31.10.2007 02:11 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
P.S. Jen dodávám, že předpoklad "není v něm díra" nelze splnit, takže ho logicky vypouštíme, že ;)
31.10.2007 02:14 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ono pokud bychom ho nevypustili, dostala by vaše logika ještě zrůdnější rozměr. Telnet co není děravý neexistuje, ale vy jste stejně ochoten ho mít spuštěný a tvrdit, že to není chyba . Což je sice logický nesmysl, ale vám by to bylo podobné :)
31.10.2007 08:24 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ano. Prave proto M.K. zduraznil ze v nem nesmi byt dira. Ze je pak spusteny vubec nikomu/nicemu nevadi, pokud ho nezacne nekdo vyuzivat. To mel byt pouze priklad, nikdo netvrdil ze je z toho nejaky uzitek, pouze ze to neni chyba.

Vy tenhle predpoklad vypustite/ignorujete, diskuze dostava uplne jiny spad a pak se muzeme jenom divit ze je tu uz pres 300 prispevku..
31.10.2007 10:47 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vy opravdu postrádáte elementární znalost predikátové logiky. Jak si můžete dovolit „vypustit“ předpoklad jenom proto, že jej nelze splnit?!

Představte si, že jste programátor a narazil jste na program s následující konstrukcí: if (false and true) then doIt. Vy ho vylepšíte tak, že odstraníte předpoklad, který nelze splnit: if (true) then doIt. Myslíte si, že program dělá stále to samé?

Logické uvažování Michala Kubečka je v tomto případě zcela bezchybné, zatímco s vaším byste nedostudoval žádnou střední školu, kde se vyučuje matematika. Má vůbec smysl s vámi dále diskutovat?
31.10.2007 14:07 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Chápejte, já jsem ho vypustil z toho důvodu, že to je chyba/omyl v uvažování pana Kubečka. To je to, když někdo používá logiku a logické postupy -- a ignoruje fakta. Pokud stanoví předpoklad, který NEPLATÍ, pak z toho opravdu už ani nemusí dále nic vyvozovat :D

Jenže v tu chvíli člověk, který rozhodně vystudoval víc než střední školu kde se vyučuje matematika řekne "pozor", překontrolujeme předpoklady...

Ona škola není jen o logice, je potřeba logika a něco navíc. V reálněm světě opravdu nemůžete přijít do práce a říct "šéfe tak to nemam, protože jste mi výslovně řekl že tam mam jít na osmou ale oni maj až od devíti". Musíte prostě počítat s tím, že lidé nejsou neomylní a umět i při chybném (nesplnitelném) zadání dosáhnout pozitivního výsledku ;)
31.10.2007 14:23 Skokan, Pavel | skóre: 28
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
IMHO ono vami prosazovane reseni ma jeste jednu vadu na krase - jakmile neco bezi v lokalnim kontextu (po prolomeni prvni urovne - tj. toho vzdaleneho prihlaseni "obycejneho" uzivatele), tak to louskani hesla roota vzhledem k vykonu dnesnich stroju pobezi mnohem rychleji, nez by se to kdy povedlo po siti...
31.10.2007 16:38 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zkuste prosím upřesnit, co máte na mysli pod pojmem "louskání hesla roota v lokálním kontextu". Tedy jak a čím přesně budete louskat :)

Jinak ta další úroveň není nějaké "alternativa", je to naopak něco navíc. Tedy vada na kráse se nekoná -- v konkurenčním řešení po prolomení vzdáleného přihlášení máte (můžete mít) roota IHNED. V mém případě máte po vynaložení STEJNÉHO ÚSILÍ (prolomení první úrovně lokální účet, což je méně než root.
31.10.2007 16:51 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Předpoklad stejného úsilí (v průměrném případě) by platil jen tehdy, byla-li by hesla stejně dlouhá. Není však žádný důvod se domnívat, že tento předpoklad bude splněn. Vyšel bych spíše z předpokladu, že stejný bude počet zapamatovaných znaků, což se mně zdá realističtější.
31.10.2007 16:09 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Prectete si jeste jednou ten prispevek s telnetem od M.K. - k cemu byl jeho uvedeny priklad vztazeny, pak uz snad pochopite..
31.10.2007 16:51 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ale vždyť já to chápu jajo ;) ;)

Pan Kubeček se v tom příspěvku dopustil jen dvou přehmatů -- 1. připustil existencí telnet serveru, ve kterém stoprocentně, ale stoooooprocentně není bezpečnostní chyba, a za 2. takovouto (neexistující) službu označil jako ne-nebezpečnou, je-li spuštěna, což je samozř. už jen důsledek prvního omylu.

V někom by to mohlo vzbudit dojem, že "mít spuštěný telnet není a priori chyba, pokud jej nepoužívám", což je ale nepravdivé tvrzení. Vím, že pan Kubeček tam prásknul ještě navíc ten nesplnitelný předpoklad že telnet je neprůstřelný, což dává úvaze takovou "pravdivostní pojistku" (kdyby býval byl existoval takový telnet, pak by jeho běh nebyl chybou), ale to je z principu věci úvaha z říše pohádek a je divné ji aplikovat v reálu.
31.10.2007 17:09 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Takže tímto příspěvkem si můžeme virtuálně odrolovat zpět celou část diskuze, kterou jste zahájil svým „kdyby byl býval existoval ssh démon, který zapomíná ověřit heslo“, odeslat ji do říše pohádek a můžeme začít znova dumat nad tím, před čím vlastně ten váš druhý stupeň ochrany v reálu chrání.
2.11.2007 22:34 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jen pro úplnost upozorňuji, že tu větu o zapomenutí ověřit heslo jsem já nikdy neřekl, ani žádnou podobnou. Tipoval bych že jste s tím přišel vy, nebo pan Kubeček, ale hledat se mi to nechce :D Nejspíš jste s tím přišel jako s příkladem teoretické možnosti kdy by 2. stupňová ochrana měla i-podle-vás smysl, ale to je samozřejmě vykonstruované tvrzení, taková ta návnada co se nadhodí a pak se setře jako jasná pitomost :D. Samozřejmě bych nikdy netvrdil, že su je ochrana pro případ, že se ssh zapomene zeptat na heslo, to je jasné.
3.11.2007 10:00 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nikoli, přišel s tím azirIt jako s jediným příkladem teoretické možnosti, kdy by „2stupňová“ ochrana měla smysl. Pokud tedy vynecháme ono zapomenutí kontroly hesla, máme zde v diskuzi celkem 0 vyjmenovaných příkladů, proti čemu může „dvoustupňová“ ochrana být dobrá. Takže buďto sem konečně někdo napíše alespoň jeden příklad, před čím ta „dvoustupňová“ může chránit, nebo myslím můžeme tuto diskuzi uzavřít s tím, že dvoustupňová ochrana možná teoreticky před něčím chrání, ale nikdo neví před čím.
3.11.2007 10:57 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
1) Na uživatelské účty se neláme miliarda Číňanu, protože pohoří už na tom, že neuhodnou uživatelské jméno.

2) Snižuje to míru anonymity přihlašovaného pokud není Číňan. Už jsem to tu popsal, ale je pravda, že ne každý to dokáže pochopit nebo ocenit.

3) Za předpokladu, že je uživatelský účet chráněn stejně okázale, jako root, je to další vrstva ochrany, ať se to někomu líbí, nebo nelíbí. Pan Kubeček pouze poukazoval na to, že je to s ohledem na efektivitu relativně komplikované řešení, ale ani on myslím netvrdil, že by byla bezpečnost nedej bože menší či stejná.
2.11.2007 22:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
připustil existencí telnet serveru, ve kterém stoprocentně, ale stoooooprocentně není bezpečnostní chyba

A kde to konkrétně bylo, smím-li se zeptat?

3.11.2007 11:11 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zdá se, že už mi vysvětlili, že to byla čistě a jen taková hříčka. Asi jako tvrdit že pokud je automobil zcela bezpečný, není morální chybou v něm jezdit jako prase -- klidně 200 přes obec. Škoda jen, že ta nesmyslná hříčka pak měla podporovat tvrzení o tom ssh v1.

A protože vy velmi často opravujete nepřesnosti a poučujete za účelem zvýšení obecného povědomí a zabránění možným škodám špatnou interpretací názorů jiných lidí, tak zrovna tohle je místo, kde by někdo mohl na základě vašich tvrzení snadno usoudit, že "není chybou mít spuštěný telnet, pokud v něm není chyba a nepoužívám jej" (a najít si nějaký telnetd na který zatím nikdo nepublikoval nějaký exploit, ten spustit a nepoužívat, případně napsat vlastní opravdu neprůstřelný telnet, a ten nepoužívat, což by byla rovněž chybná bezpečnostní strategie), nebo si pro sshd povolit ssh v1, i když on sám osobně ho používat nebude, protože to je přece bezpečné -- psal to pan Kubeček, a ten tomu rozumí.

Tak jsem to pro dobrou věc trochu upřesnil a zprůhlednil, jistě chápete. Bezpečný telnetd neexistuje, takže nepouštět (obecně nepoužívané služby nepouštět), nepoužívané ssh v1 nepovolovat (obecně protokoly u kterých není úmyslem je legitimně používat tak nepovolovat).
3.11.2007 11:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
případně napsat vlastní opravdu neprůstřelný telnet, a ten nepoužívat, což by byla rovněž chybná bezpečnostní strategie
Proč? Navíc opravdu si myslíte, že někdo bude pracně shánět neprůstřelný telnet, nebo jej dokonce sám programovat, s myšlenkou na to, že jej pak nikdy nepoužije?
2.11.2007 22:50 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ještě jedna poznámka k bodu 1: vím, že se tím ve vašich očích sesunu ještě hlouběji do bahna, ale to je mi celkem jedno. Takže rouhačství největší: vzhledem k míře komplikovanosti obou protokolů a době jejich používání považuji vzdáleně zneužitelnou bezpečnostní chybu v telnet serveru za podstatně méně pravděpodobnou než u sshd.
3.11.2007 11:24 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Myšleno tak, že pro dva identické stroje, které se liší jen v tom, že na jednom běží telnetd, zatímco na druhém sshd bude ten druhý úspěšně napaden s větší pravděpodobností?

Předem avizuji že to neberu jako rouhačství, prostě porovnáváme bezpečnost dvou démonů a třeba ta doba používání by mohla být ve prospěch telnetu.

Ale je zde opět ta možnost, že 10 hekrů jen tupě nasadí sniffer, (protože co taky na někoho kdo v dnešní době (asi) používá telnet) a bude odposlouchávat ten telnet, až se pan root někdy konečně přihlásí, a jedenáctý se tam přes ten telnet na toho roota bruteforce dostane. V tu chvíli má 11 hekrů heslo, na rozdíl od sshd, kdy by heslo měl jen ten jeden. Netvrdím samozřejmě, že 11 hekrů je z principu věci větší nebezpečí než 1, ale pokud jde o míru možné škody, větší být může. Může se to zdát vykonstruované, ale jsou i lidi, co si úplně ale úplně náhodou všimnou "hele von se tam někdo přihlásil na roota, přes telnet, blbec :D".
3.11.2007 12:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Myšleno tak, že pro dva identické stroje, které se liší jen v tom, že na jednom běží telnetd, zatímco na druhém sshd bude ten druhý úspěšně napaden s větší pravděpodobností?

Přesně tak. Samozřejmě se teď bavím pouze o otázce zneužití bezpečnostní díry v démonovi samotném, ne o případě, že by se ten telnet aktivně používal ke vzdálenému přihlášení.

Ale je zde opět ta možnost, že 10 hekrů jen tupě nasadí sniffer, (protože co taky na někoho kdo v dnešní době (asi) používá telnet) a bude odposlouchávat ten telnet, až se pan root někdy konečně přihlásí

Opět stejný problém jako předtím: nereagujete na to, co jsem napsal, ale na to, co si představujete, že jsem napsal. Já jsem mluvil o bezpečnosti démona jako takového, ne o zabezpečení protokolu.

a jedenáctý se tam přes ten telnet na toho roota bruteforce dostane

1. Je potřeba si konečně ujasnit, jak to s tím útokem hrubou silou je. Budu-li počítat relativně rychlý (ale snadno dostupný) stroj a náhodné heslo o délce 8 znaků nad abecedou 62 znaků, bude střední doba jeho uhodnutí hrubou silou při znalosti hashe (tedy velmi silný předpoklad) tři a půl roku pro DES (který už skoro nikdo nepoužívá), 400 let pro MD5 (nejobvyklejší) a 9478 pro Blowfish (default v mé distribuci). Jinak řečeno, pokud má root takové heslo, že má smysl se reálně zabývat možností, že jeho heslo uhodne někdo zvenku pouhým zkoušením možností, znamená to, že správce je diletant a o bezpečnosti je škoda ztrácet řeč.

2. Myslíte si, že ten, kdo bude provádět útok hrubou silou, se bude obtěžovat s ověřováním veřejného klíče serveru? A podle čeho vlastně? Že vám nejdřív slušně napíše "Chtěl bych se lámat na váš server, můžete mi, prosím, poslat jeho veřejný klíč?" Asi ne… Pak je sice pořád výrazně těžší sledovat SSH komunikaci než telnet, ale v principu komunikaci útočníka se serverem musíte považovat za nechráněnou.

3.11.2007 17:02 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Já myslím že je potřeba se vždy zabývat bezpečností toho stroje, tedy jestli je stroj vice či méně ohrožen při či bez běhu toho či onoho démona s tím či oním povoleným či nepovoleným protokolem. Pak se budeme oba bavit o tom samém. Pod pojmem "bezpečnost démona jako takového" nevím, co si představit (že prostřednicnvím něho je/není proveden úspěšný útok? v tom případě oba řešíme totéž, čili ok). Ale řešit má podle mne smysl především bezpečnost stroje, a ta je ohrožena už samotnou možností se na něj přihlašovat přes službu či protokol, který tam není veden jako předmět legitimního používání oprávněnými osobami a slouží tedy jen jako hračka pro hekry.

Ad bruteforce: až dosud jsme řešili útok burteforce akademicky, tedy jako že je rozdíl mezi bezpečným heslem délky n a bezpečným heslem délky n+1. Pokud je ten rozdíl jako rozdíl mezi 90 tisíci a 900 tisíci lety, pak to je z hlediska životnosti stroje rozdíl zanedbatelný tedy žádný. Pokud přešalftováváte do těchto vod, můžeme se tedy začít bavit o tom, jak je to s těmi dvěma vrstvami? :D
3.11.2007 22:15 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pokud je ten rozdíl jako rozdíl mezi 90 tisíci a 900 tisíci lety, pak to je z hlediska životnosti stroje rozdíl zanedbatelný tedy žádný. Pokud přešalftováváte do těchto vod, můžeme se tedy začít bavit o tom, jak je to s těmi dvěma vrstvami?

Pořád stejně: vy nabízíte zbytečnou komplikaci, která nic užitečného nepřinese. A já se vám snažím od začátku vysvětlit, že pokud už byste cítil potřebu bezpečnost proti útoku hrubou silou zvyšovat, můžete to udělat s mnohem menší námahou a mnohem lepším výsledkem. Jestli to potřeba není (což většinou není), tím spíš není důvod si přidělávat práci s dvoustupňovým přihlašováním.

4.11.2007 08:57 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zde je asi potřeba poznamenat, že necítím potřebu zvyšovat odolnost proti útoku hrubou silou, a i kdybych cítil, rozhodně bych to neřešil dvojím přihlašováním. To bychom mohli taky pokračovat trojím přihlašováním, žejo... Naví už pouhé prodloužení hesla o jeden znak přece... :D Však víte co. Dvojí přihlašování, resp. přesněji řečeno nepřihlašování přímo na roota má jiné bezpečnostní výhody, o kterých jsem se už zmińoval.
31.10.2007 16:42 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Michal Kubeček se nedopustil žádného omylu či chyby v uvažování, ale jasně napsal, jak se věci mají. Jsem přesvědčen, že Michal Kubeček dobře ví, že v daemonu telnetu se objevují chyby, proto své tvrzení napsal právě ve tvaru, v jakém jej napsal. Vy jste asi ještě nikdy neprováděl myšlenkové experimenty, kde vyjdete z jistých předpokladů, které v reálném světě neplatí, a vyvozujete z nich závěry, jako by ony předpoklady platily. Tímto způsobem lépe pochopíte, jak spolu věci v reálném světě souvisejí -- a to je přesně tento případ.

Proč jste tedy nenapsal hned v prvním příspěvku následující?!
Protože však předpoklad bezchybnosti software nebývá v praxi splněn, tak nelze tvrdit, že spuštění daemona telnetu na serveru je bezpečné. V tom se pravděpodobně s Michalem Kubečkem shodnu.
Ušetřili bychom si zbytečně strávený čas.
31.10.2007 17:06 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Hezký příspěvek :)

Jako myšlenkový experiment s tím problém nemám, to se mi líbí. Je opravdu pravda, že mít spuštěnou službu, která je neprůstřelná je ok. Ale ono to bylo navíc dáno jako analogie k něčemu, což neplatí a analogie zde disti pokulhává.

Nicméně myslím, že jsem zareagoval dostatečně jasně "Mít spuštěné služby, které se nepoužívají, je z bezpečnostního hlediska chyba a je to potenciální díra do systému". Tedy to vaše "nelze tvrdit, že spuštění daemona na serveru je bezpečné". A dál jsem psal, že bezpečné služby neexistují a je to leda chiméra některých jedinců (tedy to vaše "bezpečnostní předpoklad nebývá v praxi splňen"). Sice jsem to napsal v méně zřejmém pořadí, tedy druhá část je podkladem pro tvrzení uvedé na v části první, navíc jsem se nehezky vyjádřil o jistých osobách, ale smysl byl jasný.

Ona vůbec ta tvrzení a myšlenkové experimenty pana Kubečka jsou pochybné. Kupříkladu nejsou pravdivé jejich závěry. Jasně že JE bezpečnostní chybou mít povolené SSH v1 :D Pan Kubeček sice to riziko nevidí, jemu totiž stačí, že ON ho nebude používat. Ale už neuvažuje o možnosti, že se mu tam přes něj někdo nabourá, třeba nějaká lama, a ten někdo bude navíc sniffován nějakým teroristou, který má díky té lamě dveře otevřené a z jeho serveru mu udělá hormadu šrotu. Ale nepustil ho tam pan Kubeček.. udělala to za něj ta lama. A v čem byl primární problém??? Chvíle napětí....

V povoleném SSH v1.
31.10.2007 18:23 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Samotny ssh server je bezpecny pro obe varianty ssh. Rozdil je ale v implementaci samotneho protokolu - napr. v tom, ze v ssh v1 je cast prenasenych dat nesifrovanych, proto muze pri jeho pouziti dojit k prevzeti spojeni. A prave proto se nedoporucuje jej pouzivat.
31.10.2007 18:35 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A jen pro upresneni - to, ze je cast dat nesifrovanych neni chyba toho protokolu, ale jeho vlastnost. Proto se durazne doporucuje pouzivat ssh v2.
2.11.2007 22:38 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Právě, a protože je nebezpečný v případě použití, mělo by jeho použití býti zamezeno. Asi jako naložená tatrovka je nebezpečná při samovolném rozjetí či rozjetí osobou nepovolanou, takže jejímu rozjetí by mělo být zamazeno, jinak jde řidič či majitel vozidla do lochu :D Tedy umožnění komunikovat přes ssh1 je bezpečnostní chybou, protože v případě využití této umožněné varianty ssh je riziko průniku osobou nežádoucí vyšší, než když tato varianta umožněna néní.
2.11.2007 22:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jasně že JE bezpečnostní chybou mít povolené SSH v1 :D Pan Kubeček sice to riziko nevidí, jemu totiž stačí, že ON ho nebude používat. Ale už neuvažuje o možnosti, že se mu tam přes něj někdo nabourá

A jak to udělá? SSH protokol verze 1 je nebezpečný pouze tím, že je kryptograficky slabý, takže útočník může analýzou komunikace získat citlivé údaje. Jenže když žádná komunikace neproběhne, nemá co získat. Právě proto jsem to přirovnával k telnetu - v okamžiku, kdy ho nepoužiju, problém se snadností odposlechu komunikace se nemá kde projevit.

3.11.2007 07:27 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Udělá to třeba bruteforce a bude mít to štěstí, že uhodne heslo. Popisoval jsem takový myšlenkový veletoč, že se do systému úspěšně nabourá nějaká lama, která nic zlého neprovede, a tu bude shodou okolností sniffovat někdo jiný, který to tam pak provětrá :) To bylo jen v rámci těch "myšlenkových experimentů", jak je tu někdo popisoval a který jste vy uvedl. (Poukázal jsem na jeho slabinu.) Za této situace opravdu nelze říct, že povolení ssh v1 nebylo v dusledku chybou, protože kdyby šlo vše podle stejného scénáře ale v ssh v2, tak by se to takto odposlechnout nedalo.

Někdo by řekl, že to je nepravděpodobné, a kdyby se to stalo, že měl "jen smůlu"... ale my budeme čestní a nebudem si nic namlouvat. Byla by to chyba ;)
3.11.2007 07:28 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Což mimochodem -- beru to i jako potvrzení názoru, že mít povolené služby (i varianty služeb) které se nepoužívají a nikdy používat neplánují je bezpečnostní chybou.
3.11.2007 12:40 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Popisoval jsem takový myšlenkový veletoč, že se do systému úspěšně nabourá nějaká lama, která nic zlého neprovede, a tu bude shodou okolností sniffovat někdo jiný, který to tam pak provětrá :) To bylo jen v rámci těch "myšlenkových experimentů", jak je tu někdo popisoval a který jste vy uvedl. (Poukázal jsem na jeho slabinu.) Za této situace opravdu nelze říct, že povolení ssh v1 nebylo v dusledku chybou, protože kdyby šlo vše podle stejného scénáře ale v ssh v2, tak by se to takto odposlechnout nedalo.

A já jsem vám u toho příspěvku v té úvaze nalezl hned dvě velmi problematická místa.

3.11.2007 17:06 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Může se projevit, pokud ho použije hacker. Zabránit tomu, aby ho hacker použil je možno v zásadě jen vypnutím telnetu. Tedy telnetd by v rámci bezpečnosti běžet neměl a jsem tam kde jsem byl, je to jednoduché a logické.
3.11.2007 17:28 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ale hackerovi ten telnet k ničemu nebude, když nezná heslo. A brute-force útok je stejně nebezpečný jako přes ssh.

A když ho legitimní uživatelé nebudou používat, tak padá argument o sniffování.
Real programmers don't comment their code. If it was hard to write, it should be hard to read.
3.11.2007 22:18 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ať si ho hacker klidně používá, když ho to baví. Pokud v démonovi není díra - a jak už jsem napsal, díru v telnetd považuji za méně pravděpodobnou než v sshd (a napsal jsem i proč) - zbývá mu jen možnost uhodnout heslo. A na to nepotřebuje telnetd.
27.10.2007 11:14 Jix0 | skóre: 23 | blog: Not only for humans
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
M.K.? ze by mutantni komunista? :-D
If you will not cooperate, you are to be executed! | Starting as a DJ
hwsoft avatar 30.10.2007 14:50 hwsoft | skóre: 19
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja tedy mam PermitRootLogin without-password, protoze tim poresim slovnikove utoky (blokace po nekolika neuspesich muze zjistit pekny DOS, kdyz to utocnik vi.)
26.10.2007 21:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Osobně tam sice většinou mám without-password, ale ani na yes nevidím nic principiálně špatného. Vynucováním dvoustupňového přihlašování bezpečnost nezvýšíte.

Zkuste se např. zamyslet nad tím, jak ztížíte útočníkovi útok hrubou silou tím, že místo jednoho hesla bude muset (postupně) louskat dvě (stejně složitá). Časová náročnost vzroste na dvojnásobek. A co když bude muset louskat jen jedno heslo, ale bude o pouhý jeden znak delší? Časová náročnost vzroste tolikrát, kolik znaků má abeceda, nad kterou to heslo generujete, tedy typicky 62-krát (malá a velká písmena a číslice) nebo aspoň 36-krát (malá písmena a číslice), i v tom nejhorším myslitelném případě 26-krát (pouze malá písmena). To jen tak pro ilustraci…

26.10.2007 22:10 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ty ale porovnavas jedno silne heslo s dvoma slabymi a absolutne nechapem preco. pisal som niekde, ze pocet hesiel umerne znizuje ich silu ? preco by to tak preboha malo byt ? :) u mna to teda vobec neplati.
26.10.2007 23:05 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Michal neporovnává dvě slabá hesla oproti jednomu silnému, ale dvě hesla oproti jednomu a ukazuje, že přidáním jednoho znaku k heslu zvýšíte časovou náročnost útoku na heslo hrubou silou řádově vícekrát, než když použijete dvě stejně dlouhá hesla. Jinými slovy je výhodnější pamatovat si n+1 znaků jako jedno heslo než dvakrát n znaků jako dvě hesla.
26.10.2007 23:15 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jinými slovy je výhodnější pamatovat si n+1 znaků jako jedno heslo než dvakrát n znaků jako dvě hesla.

zase porovnanie jedneho silnejsieho s dvomi slabsimi. takze dam ferovy priklad: podla teba je bezpecnejsie (mimochodom o vyhodnost absolutne nejde, neviem preco to spominas) zabezpecenie heslom o dlzke n znakov ako zabezpecenie dvoma roznymi heslami obe o dlzke n znakov ?
26.10.2007 23:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Problém je v tom, že vy se nám snažíte tvrdit, že nutností zadat dvě hesla netriviálně zvýšíte bezpečnost systému a že tudíž kvůli tomu stojí za to komplikovat správu systému. Já vám na to odpovídám, že kdyby útočník místo nutnosti zadat dvě hesla musel zadat sice jen jedno, ale o pouhý jeden znak delší, byla by to pro něj podstatně větší komplikace. Tedy že prodloužením hesla o jediný znak zvýšíte bezpečnost (proti útoku hrubou silou) řádově více než vynucením postupného zadání dvou hesel, a to při podstatně menším znepříjemnění života správci systému.
26.10.2007 23:31 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kde som povedal, ze netrivialne ? ja som nikde neovori, ze tato vlastnost zasadnym sposobom zvysi bezpecnost (praveze vyssie hovorim opak). aj male zvysenie je lepsie ako ziadne. a stale hovoris o heslach o roznej dlzke, proste porovnavas hrusky a jablka.
26.10.2007 23:39 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Problém je v tom, že máte na výběr mezi akcí A, která vám mírně zkomplikuje život a výrazně zvýší odolnost proti útoku hrubou silou, a akcí B, která vám zkomplikuje život o něco více než A, ale odolnost zvýší výrazně méně. Snažím se vám celou dobu vysvětlit, že za takových okolností je akce B naprosto k ničemu, protože budu-li mít pocit, že je třeba odolnost proti útoku hrubou silou zvýšit, vždy je tu jako alternativa možnost A, která poskytne větší přínos za menší cenu. Samozřejmě pokud pomineme extrémní situace, jako třeba že byste používal coby hashovací algoritmus tradiční DES (kde se stejně použije jen prvních osm znaků hesla).
26.10.2007 23:46 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ak to beries ako pritaz, tak potom mas z casti pravdu. pre mna to teda pritaz nie je, radsej urobim par krokov pri prihlasovani viac a som si na istom. na admina sa mi zdas primalo paranoidny.
26.10.2007 23:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A je vám jedno, že můžete získat větší "jistotu" s menším úsilím? Mně ne.
27.10.2007 11:20 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
aku 'vacsiu' istotu ? alebo zase porovnavas hesla roznej dlzky ?
27.10.2007 11:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Samozřejmě. Zkusím to napsat ještě víc názorně: mám systém, kde má normální uživatel i root (třeba) osm znaků dlouhé heslo. Zvažuji dvě možnosti, jak zvýšit odolnost proti útoku hrubou silou:

  1. prodloužit rootovi (nebo oběma) heslo na devět znaků
  2. vynutit dvoustupňové přihlašování (nejdřív na uživatele, z něj na roota)

Druhá možnost mi nabídne podstatně menší zvýšení bezpečnosti při větších komplikacích pro mne. Proto samozřejmě zvolím tu první.

A pokud byste chtěl tvrdit, že nejlepší by bylo prodloužit hesla i vynutit dvoustupňové přihlašování, tak ani to není pravda - místo toho raději ta hesla prodloužím na 10 znaků a opět dostanu "více muziky za méně peněz".

27.10.2007 11:33 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A pokud byste chtěl tvrdit, že nejlepší by bylo prodloužit hesla i vynutit dvoustupňové přihlašování, tak ani to není pravda - místo toho raději ta hesla prodloužím na 10 znaků a opět dostanu "více muziky za méně peněz".

a znovu porovnavas rozne dlzky! :)) preco by si zase mal jedno heslo predlzit na 10 znakov a tie dve nechat na 9 ? proste ja nechapem tvoje myslenie - preco pri viacerych heslach automaticky predpokladas, ze nikdy nemozu byt dlhsie ako to jedno ? co ta k tomu vlastne vediet ? mozes mi to vysvetlit ?
27.10.2007 11:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Protože mám jakýsi výchozí stav a dvě možnosti, jak ho změnit. A ty porovnávám.

Nebo jinak: kdykoli vy vymyslíte variantu s dvoustupňovým přihlašováním a hesly délky n, já vám nabídnu jako alternativu jednoduché přihlašování a délku n+1. Moje alternativa bude pohodlnější pro správce a těžší na prolomení pro útočníka. Takže netuším, proč trváte na řešení, které funguje na principu "cesta byla delší, zato však méně pohodlná".

27.10.2007 12:24 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kedykolvek ty vymyslis nejaku alternativu s heslom n+1, ja pridem s lepsou s 2x(n+1) (pripadne staci kludne 1 a n+1) ktora bude 100% bezpecnejsia (tazsia na prelomenie) ako ta tvoja.

prosim ta aka pohodlnost ? je pre teba az take tazke napisat 'su -' + heslo ? toto za znizenie pohodlnosti absolutne nepovazujem a neberiam ako argument, nie sme predsa nejaki kripli, pre ktorych kazdy maly pohyb naviac znamena velke utrpenie. alebo ano ? okrem toho, vysoka uroven bezpecnosti nebude nikdy pohodlna, to by si mal vediet. pohodlnost a bezpecnost su asi v takom istom vztahu ako predpoklady a bezpecnost a ak toto nechapes, tak sa myslim bavime uplne zbytocne. tvoje povedomie o skutocnej bezpecnosti sa radiklane lisi od toho mojho: ty ho zakladas na predpokladoch a pohodli, ja na dovere (resp. nedovere) a urcitej forme istoty.
27.10.2007 12:47 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Dobry den, neda mi to abych se Vas nezeptal, ale nejak stale nechapu Vase myslenkove pochody :-) uvazujme modelovou situaci kdy mame pristupny pocitac, na nem dva ucty:
  • uzivatelsky
  • superuzivatelsky
A taky mnozinu akci (tzn. nebudeme se nyni bavit o dalsich moznych jinych) ktere mohou zvysit zabezpeceni do ktere patri:
  • Povolit/zakazat prime prihlasovani na superuzivatelsky ucet root
  • Zmenit delku hesla uzivatelskeho uctu
  • Zmenit delku hesla superuzivatelskeho uctu
Ve vychozim stavu jsou obe hesla nastavena na delku 5-ti znaku (pro jednoduchost napr predpokladejme ze muzeme jako heslo zadavat pouze mala pismena).

Jakym zpusobem KONKRETNE byste zvysil zabezpeceni takoveho systemu?
27.10.2007 13:11 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
otazke nerozumiem, pretoze odpoved je uplne jasna: treba vykonat vsetky tri akcie (je vlastne jedno, v akom poradi). obe hesla budu samozrejme navzajom rozne. spytaj sa konkretne a ja ti konkretne odpoviem :) ak narazas na dlzku hesla, tak nejdem pod 9, resp. v tomto pripade by zmena dlzky bola len smerom nahor.
27.10.2007 13:51 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Rozumim tomu tak, ze zakazete prime prihlasovani a obe hesla nastavite ruzna a na delku 9. To znamena ze pri prihlasovani se na roota potrebujete zadavat 2x uzivatelske jmeno a heslo?

Chci tim rict ze je, jak tady poukazoval pan Kubecek, docela zbytecne ztezovat si cestu, kdyz jde tohle vyresit primym prihlasenim na roota a jeste s vetsim bezpecim pokud zvolime jen o jeden znak delsi heslo. Takze pri prihlaseni do systemu staci pouze jedno jmeno s heslem.
27.10.2007 14:37 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Chci tim rict ze je, jak tady poukazoval pan Kubecek, docela zbytecne ztezovat si cestu, kdyz jde tohle vyresit primym prihlasenim na roota a jeste s vetsim bezpecim pokud zvolime jen o jeden znak delsi heslo. Takze pri prihlaseni do systemu staci pouze jedno jmeno s heslem.

k tomuto sa teda vyjadrovat absolutne nebudem, robim to totizto v celom tomto vlakne (precitaj si ho a snaz sa pochopit). robis presne to, co Michal: porovnavas dve rozne urovne hesiel (cize dve uplne rozdielne situacie).
28.10.2007 03:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ne úplně různé situace. Mám výchozí stav a dvě alternativy zvyšující odolnost vůči útoku hrubou silou. Jedna (ta vaše) mírně zvýší bezpečnost a výrazně sníží pohodlí. Druhá (moje) výrazně zvýší bezpečnost a mírně sníží pohodlí. V důsledku je můj návrh bezpečnější i pohodlnější než váš. Proč bych si tedy měl ten váš vybrat? Snad proto, že při zadávání o znak delšího hesla bych neměl tak silný pocit efektního opatření jako při zbytečném postupném zadávání dvou hesel?
28.10.2007 08:39 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Mně se zdá, že klamete sám sebe.

Přemýšlel jste někdy nad možností, že poté, co kterýkoliv uživatel na daném stroji zjistí heslo na roota, může tam cokoliv spáchat zcela anonymně? Případně si ani nevšimnete, že jste to "nebyl vy"? A může to udělat i lama, které by po sobě neuměla "uklidit".

Takže vy dáváte všem uživatelům (i sekretářce kdyby byla schopna vám přes rameno vočíhnout heslo) do rukou jednoduchý nástroj -- anonymní správu serveru, a nepřipadá vám to jako snížení bezpečnosti?
28.10.2007 08:40 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
P.S. Vím, že se to netýká útoku hrubou silou který řešíte v tomto threadu.
28.10.2007 09:03 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jo a zvažte to i ve světle toho, že běžní uživatelé zpravidla nemají povolené su a tak. Takže ve vašem moduelu se s pouhou znalostí hesla roota na roota může přihlásit každý Číňan, ktežto v konkurenčním modelu jen privilegovalý uživatel toho stroje (vy).
28.10.2007 11:20 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

1. Pořád zanedbáváte, že mezi "pouhá znalost hesla roota" a "znalost hesla normálního účtu a hesla roota" je jen velmi malý rozdíl, zcela zanedbatelný proti efektu elementárního posílení síly hesla.

2. Tvrdošíjně ignorujete vysvětlení, že omezení na "privilegovaného uživatele" je faktorem naprosto zanedbatelným v porovnání s elementárním posílením bezpečnosti hesla. I kdyby musel útočník prolomit těch hesel postupně prolomit deset, pořád to bude pro něj výrazně menší komplikace než pouhopouhé prodloužení hesla o jeden znak.

3. A konečně zapomínáte, že u vzdáleného přihlašování nemusím autentizaci heslem povolit vůbec a proti náročnosti prolomení 1024-bitového klíče jsou vaše opatření už naprosto bezpředmětná.

28.10.2007 16:11 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
S ohledem na to, že bod 3 jste až dosud označoval za řešení velmi namáhavé s relativně nízkým efektem to je od vás konečně první rozumné slovo, na kterém se shodneme.

K ostatním bodům -- mluvil jsem o případech jiného způsobu získání hesla než "hádáním" a tam neplatí ani bod 1 ani bod 2.
28.10.2007 16:18 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pokud jsem četl dobře, tak jsi nepochopil, co myslel tím "O variantě, kdy autentizaci heslem zakážu úplně a budu se přihlašovat pouze klíčem, ani nemluvě…". Zkus si to přečíst ještě jednou a zjistíš, že to vlastně neodmítal, ale vyzdvihoval.
Real programmers don't comment their code. If it was hard to write, it should be hard to read.
28.10.2007 18:36 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zřejmě je to tak, díky. Prima.
28.10.2007 16:18 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Právě naopak, pan Kubeček označil klíč za velmi dobré řešení, to jen Vy neumíte číst.
28.10.2007 18:34 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Není pravda, že neumím číst, ale je pravda, že tuhle větu jsem zřejmě špatně pochopil. Tak je dobré, že alespoň na tomto se shodneme, je to varianta kterou preferuji i já. Jen se vážně obávám, jestli to pro pana Kubečka není moc velká komplikace. Tak snad ne.
28.10.2007 19:06 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
S ohledem na to, že bod 3 jste až dosud označoval za řešení velmi namáhavé s relativně nízkým efektem

Vážně? Kdy a kde to bylo?

28.10.2007 11:14 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Přemýšlel jste někdy nad možností, že poté, co kterýkoliv uživatel na daném stroji zjistí heslo na roota, může tam cokoliv spáchat zcela anonymně? Případně si ani nevšimnete, že jste to "nebyl vy"? A může to udělat i lama, které by po sobě neuměla "uklidit".

Za prvé: "který zjistí heslo na roota" je velmi silný požadavek. Za druhé: nevysvětlil jste nám, v čem je vámi navrhovaný model lepší - tam totiž platí přesně totéž. Pokud byste chtěl problém opravdu řešit, musel byste nasadit něco na způsob LIDS nebo SELinux, ne jen "schovat roota" a doufat, že to bude stačit. Nebude.

Takže vy dáváte všem uživatelům (i sekretářce kdyby byla schopna vám přes rameno vočíhnout heslo) do rukou jednoduchý nástroj -- anonymní správu serveru, a nepřipadá vám to jako snížení bezpečnosti?

Čím, mohu-li se zeptat? Myslíte si snad, že heslo roota rozdávám na potkání každému, kdo si o něj řekne? Co se odpozorování hesla týká, váš přístup opět nic neřeší - když budete tak nepozorný, že si necháte heslo odpozorovat, jste na tom úplně stejně.

29.10.2007 16:36 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Za až tak silný požadavek to nepovažuji, zrovna to "odpozorování" je snadná záležitost.

Ten model je lepší v tom, že neobsahuje možnost přihlásit se na leckdy sdílený účet s veřejně známým jménem a to zcela anonymně přes ssh. Je k tomu potřeba použít váš uživatelský účet, a pokud se o tom v systému uchová nějaká zmínka, tak už můžete vědět, odkud vítr vane. Můžete třeba začít přemýšlet, jestli jste v poslední době někoho nenaštval svou zarputilou logikou ;) Stejně tak budete blíže k pachateli, pokud by k tomu naopak použil třeba účet vašeho kolegy, který má z nějakého důvodu rovněž přístup na roota. (Není až tak neobvyklé, že roota má víc lidí, že ne.)

Ale pokud se přihlásí přes ssh rovnou na roota, tak nikdy nezjistíte, kdo to byl, jestli některý z miliardy Číňanů, nebo váš kolega, a indicie jak dotyčný přišel k heslu (u koho se profláklo) nebudete mít žádné. Dokonce si můžete myslet, že se normálně přihlašoval ten kolega co má taky roota a ani nebudete vědět, že váš server někdo navštívil.

Pokud jste jediný administrátor, jsou výhody slabší, ale pořád jsou. Číňani se přes kubecek@ nepřihlašujou, takže to pomůže rozeznat náhodný hack od těch "závažnějších", což může být docela důležité.
29.10.2007 17:41 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Za až tak silný požadavek to nepovažuji, zrovna to "odpozorování" je snadná záležitost.

Získání hesla uživatele root je velmi silný požadavek. A pokud snad u někoho není, měl by se v první řadě zabývat tím, proč není a jak zajistit, aby byl. To by bylo daleko přínosnější než vymýšlet opatření typu, že kromě zadání hesla je potřeba (obrazně) stát na levé noze a držet mezi palcem a malíčkem lalůček pravého ucha. Ale to jsme zase zpátky u toho, že bezpečnost je v první řadě otázkou stanovení priorit a že je lépe posílit slabé místo, než za něj vložit ještě jednu ochranu stejně pochybné kvality.

V dalších odstavcích opět předpokládáte, že záškodník, který se vám nabourá do systému, vám nechá nedotčené logy, ve kterých si snadno najdete, kdo to byl a co dělal. Takový předpoklad považuji za naprosto neoprávněný, kdybych se někomu lámal do systému, jedna z prvních věcí, které bych pak udělal, by byla právě likvidace jakýchkoli záznamů, které by mu umožnily zjistit, jak jsem se tam dostal a co jsem tam dělal (nejlépe i to, že jsem se tam vůbec dostal). Vy snad ne?

29.10.2007 18:42 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Riziko získání hesla: Můžete se sice neomezeně zabývat tím, jak to zajistit, ale doopravdy zajistit to nemůžete. V tom je ten problém...

Ad logy: Já bych uklidil, ale o mne se tu nejedná, v tom je opět podobný problém v logice uvažování. Takže platí uvedené výše: "Případně si ani nevšimnete, že jste to "nebyl vy"? A může to udělat i lama, které by po sobě neuměla "uklidit"." Takže ve mém modelu je anonymní jen dostatečně fundovaný uživatel, kdežto ve vašem kdokoliv, kdo umí třeba jen se přihlásit z kavárny na server a smazat nějaký soubor.
29.10.2007 19:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Já prostě odmítám zabezpečení stavět na předpokladu, že útočník bude hloupý a bude dělat chyby. Proto počítám s útočníkem, který je schopný a cílevědomý. Jsem přesvědčen, že bude-li zabezpečení odolné proti němu, bude přinejmenším stejně odolné i proti těm neschopným a náhodným.

Můj přístup je ten, že pokud se mi někdo do systému dostane na roota (jakýmkoli způsobem), tak jsem při standardním bezpečnostním modelu prostě prohrál a nezbývá mi než systém nainstalovat znovu. To, jestli v případě, že útočník bude nepořádný nebo neschopný, bude určitá šance, že mi nechá v logu nějaké zajímavé informace, už není rozdíl, který by byl natolik zajímavý, abych kvůli němu blokoval přímé přihlášení na roota. Pokud už se rozhodnu řešit situaci, kdy se mi někdo do systému pod rootem nabourá, pak ji budu řešit pomocí nástrojů, které skutečně z bezpečnostního hlediska něco podstatného přinášejí (LIDS, SELinux), ne jen zbožného přání, že po sobě dostatečně neuklidí.

29.10.2007 19:49 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jenže vy stavíte zeď proti schopnému útočníkovi (o znak delší heslo:) a podceňujete až ignorujete ty méně technicky schopné, kteří si to heslo budou muset opatřit metodou bližší jejich myšlení (naopak vzdálenější vašemu).

Ve vašem modelu vám žádný z možných záškodník žádné informace nenechá z principu věci (z pricipu fungování vašeho modelu -- anonymní přihlášení na roota.)

V mém modelu část z těch samých útočníků něco nejspíš zanechá, indicii která je může pomoct identifikovat, protože model sám je pro ně složitější.

Takže lepší je model můj a umožní mi s nezanedbatelnou pravděpodobností pachatele odhalit. Za to vám zbydou jen oči pro pláč. Systém budeme muset přeinstalovat oba. Vy pak ještě několikrát, protože pachatel pro vás zůstane stále neznámý a tedy aktivní a neeliminován :D

Zdá se mi to jasné, můj model vyhrál, nevidím jiné možné rozuzlení :D
29.10.2007 20:20 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kdyz pominu ty ostatni veci s kterymi az tak nesouhlasim
Vy pak ještě několikrát, protože pachatel pro vás zůstane stále neznámý a tedy aktivní a neeliminován :D
tak toto ma byt vtip? (smajlik tam sice je, ale radsi se ptam)
29.10.2007 20:23 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ne, takové věci se stávají. To je realita. Nevirtuální. Nemyslíte si snad, že po přeinstalování je systém něco jako "tabu" :D
29.10.2007 20:29 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Samozrejme ze neni. Me zajima ta tvoje "eliminace". :-)
29.10.2007 22:17 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Aha :) No tak člověka který nějakým způsobem zneužívá firemní server (a informace k získání oprávnění získává prostřednictvím kolegů) můžete třeba vyhodit, žejo. Nemyslel jsem fyzickou likvidaci :D To leda kdyby tam nainstaloval třeba Windows.
29.10.2007 23:58 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nechapu v cem vam odhaleni takoveho cloveka umoznuje prave vas "model" (a mne ho prime prihlasovani na roota pres ssh znemoznuje), ale budiz.
29.10.2007 20:42 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Logika myšlení některých lidí mi asi silně uniká. Předpokládat, že schopný útočník nedokáže provést to, co méně schopný, to si samo o sobě koleduje o malér. Ale ješte se k tomu domnívat, že systém je bezpečnější, jen proto, že kromě technicky schopného útočníka, který systém prolomí a zůstane neodhalen bez ohledu na způsob zabezpečení, může ještě navíc dojít k tomu, že ho prolomí i "vlamač druhé třídy" a já sice přijdu o server, ale budu o tom vědět - no to už je snad špatný vtip. Když mi hrozí Xprocentní riziko neodhaleného útoku, nezvýším zabezpečení tím, že přidám Yprocentní riziko odhalitelného útoku. K čemu? Abych mohl prezentovat vedení firmy, že jsem "zvýšil relativní odhalitelnost útoku"? ;-)
29.10.2007 22:42 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vidíte schopného útočníka vně (bruteforcujícího vašeho roota@ssh) a nevidíte problém v méně schopném potenciálním pachateli třeba ve firmě. Tomu já říkám koledování o malér.

Počet schopných i neschopných vlamačů je v obou modelech stejný, jen v tom mém bude ten méně schopný spíš odhalen, kdežto v tom vašem nikoliv. Takže já nastíním možného viníka, kdežto vy před vedení firmy předstoupíte s prázdnýma rukama. Pořád se mi zdá ten můj model lepší.
29.10.2007 23:30 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
a nevidíte problém v méně schopném potenciálním pachateli třeba ve firmě

Mně ovšem připadá bezpečnější i u vnitřního útočníka předpokládat spíše schopnost než neschopnost.

29.10.2007 23:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jenže vy stavíte zeď proti schopnému útočníkovi (o znak delší heslo:) a podceňujete až ignorujete ty méně technicky schopné

Podle mne schopný útočník může udělat cokoli, co může udělat neschopný. Obráceně to ale samozřejmě neplatí, proto mi připadá vhodnější orientovat se na schopné. Proto také nepoužívám techniky, které fungují jen za předpokladu, že "útočník nezkusí", "útočníka nenapadne", "útočník zapomene" atd. Když budu počítat s tím, že útočník zkusí, napadne ho a nezapomene, a ono to bude naopak, tím lépe pro mne.

Takže lepší je model můj a umožní mi s nezanedbatelnou pravděpodobností pachatele odhalit.

Jednak nesouhlasím s předpokladem, že je ta pravděpodobnost nezanedbatelná, jednak nesouhlasím s vaším sebevědomím, že pachatele odhalíte nebo dokonce eliminujete. Když budete mít hodně velké štěstí, zjistíte IP adresu stroje někde v Zimbabwe, z něhož se vám tam útočník dostal. Jestli zjistíte, kde byla na na vaší straně chyba (což je jediná skutečně užitečná informace), na to máme oba šanci asi tak stejnou. Tedy pokud mi na tom systému nebude záležet natolik, abych tam nasadil LIDS nebo SELinux (s pořádnou politkou) nebo si aspoň pořádně pohrál s profily pro AppArmor. Totéž se týká množství napáchaných škod.

27.10.2007 14:48 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
problem bude zrejme v tom, ze sa na to pozeras (aj Michal) z ineho ulha - v tomto pripade zo zleho, kedze na zaciatku som moj pohlad podrobne popisal (a teda sa predpoklada, ze sa bude rozoberat ten moj). skusim to znovu: vyhoda tohto riesenia je v tom, ze pridava dalsiu vrstvu ochrany, ktoru je potrebne prekonat. na sile hesiel tu absolutne nezalezi cize je chyba, ak porovnavas dva pripady s rozne silnymi heslami. pointa je v tom, ze sa pridava dalsia vrstva a nie v tom, ze su hesla silne/slabe.
28.10.2007 02:53 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jo jasne, kdyz se na to nekdo nediva z tveho uhlu pohledu, tak je to hned spatne :-) tvoje reseni ti akorat pridelava praci navic a bezpecnost nijak moc nezvysuje.
28.10.2007 11:24 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jo jasne, kdyz se na to nekdo nediva z tveho uhlu pohledu, tak je to hned spatne :-)

v tomto pripade ano! :)) ved sa predsa riesi _moj_ pohlad na vec a ten nema nic spolocne s tvojim.
30.10.2007 19:05 theoretick
Rozbalit Rozbalit vše Ciste teoreticky
Dobra, ale pokud se root bude jmenovat root, je to pro utocnika zas o neco snazsi , pac nemusi louskat username a myslim ze root bude prvni, ktere otestuje.
2.11.2007 22:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Ciste teoreticky
U podobných úvah se mi vybavuje scéna z filmu Pelíšky, kde Donutil jásá "Víš co to znamená? Že jsme zase o kousek napřed!" a Polívka mu se skeptickým pohledem odpoví "Bude to stačit, myslíš?"
Petr Tomášek avatar 16.3.2011 09:44 Petr Tomášek | skóre: 36 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Ciste teoreticky
A jaký je rozdíl oproti tomu, když přidám k heslu pár znaků navíc? :-)
28.10.2007 03:37 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kedykolvek ty vymyslis nejaku alternativu s heslom n+1, ja pridem s lepsou s 2x(n+1) (pripadne staci kludne 1 a n+1) ktora bude 100% bezpecnejsia (tazsia na prelomenie) ako ta tvoja.

Jenže když já nabízím alternativu, nabízím zlepšení v obou kritériích (bezpečnost i pohodlí). Alternativa, kterou nabízíte vy, zlepší jedno za cenu zhoršení druhého.

Ten druhý odstavec budu raději ignorovat. Rád bych, aby si tato diskuse i přes zjevný odpor mých oponentů k logickému uvažování zachovala aspoň nějakou úroveň. Tedy aspoň z jedné strany, nelze-li jinak…

28.10.2007 11:27 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
koncim, nema cenu sa o tomto dohadovat s clovekom, ktory uprednostnuje pohodlie pred bezpecnostou (a, ako som povedal, jedna o uplne _minimalne_ znizenie pohodlia). to, ze ten druhy odstavec ignorujes beriem ako suhlas s nim.
28.10.2007 11:31 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
nema cenu sa o tomto dohadovat s clovekom, ktory uprednostnuje pohodlie pred bezpecnostou

Já neupřednostňuji pohodlí před bezpečností. Já jen v situaci, kdy mohu zvýšit bezpečnost i pohodlí současně, to udělám. Zatímco vy tu bezpečnost raději neposílíte, protože byste měl špatný pocit, že je málo nepohodlné. Mně jsou pocity ukradené a zajímá mne, jak se věci skutečně mají, ne jak vypadají.

ze ten druhy odstavec ignorujes beriem ako suhlas s nim

To není souhlas. Ten odstavec neobsahuje žádná tvrzení, o kterých by se dalo diskutovat. Jsou tam jen invektivy a já nechci klesnout na vaši úroveň a předhánět se, kdo dokáže druhého víc urážet.

28.10.2007 11:59 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
fajn, tak to bezpecnost nezvysi :) necham ta zit v tvojich presvedceniach a v tom, ze (n+1) > 2x(n+1).

ako som ta preboha urazil ?? kde a cim ?
28.10.2007 12:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Achich ouvej. Kde jsem něco takového tvrdil? Tvrdím pouze, že k vašemu řešení vždy najdu

  • stejně pohodlné řešení, které je bezpečnější
  • stejně bezpečné řešení, které je pohodlnější

a dokonce i

  • řešení, které je jak bezpečnější, tak pohodlnější

Dokážete takovou alternativu nabídnout k mému řešení? Nedokážete. Vaše řešení bude při stejné odolnosti méně pohodlné a při stejné pohodlnosti méně odolné. Případně dokonce jak méně bezpečné, tak méně pohodlné. Jestli to pomůže, klidně vám to znázorním i graficky.

28.10.2007 12:33 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
precitaj si prosim ta toto
28.10.2007 12:11 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Až na to, že čas potřebný na prolomení dobře utvořeného hesla hrubou silou je úměrný m^n, kde m je velikost abecedy a n je délka hesla, a pokud si člověk s mozkem místo sena vybírá mezi 2.m^n a m^(n+1) a vybere si to první, tak potom nesmí brečet...
28.10.2007 12:31 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
precitaj si prosim ta cele vlakno. ja proste nechapem preco vsetci porovnavate hesla roznej dlzky/roznej sily! ja to nerobim. proste ty si dalsi, co to absolutne nepochopil, o dlzku hesla tu vobec neslo, to je predsa uplne ina vec ktora s mojim povodnym argumentom nesuvisi. vobec nechapem preco to Michal zacal do toho tahat. ja proste hovorim o 'dve hesla vs. jedno heslo' - povedal som alebo naznacil niekde, ze sa bude jednat o rozne silne hesla ? z coho vychadzas, ze to tak bude ? a vobec, PRECO by to tak malo byt ? mas na to nejaky konkretny dovod ?

jeden s najlepsich modelov (mozno ze aj najlepsi) bezpecnosti je vytvarat vela vrstiev, cez ktore (vsetky) sa musi pripadny utocnik dostat aby prenikol do systemu. velmi peknym prikladom je aplikacia Postfix - je rozdelena do vela malych demonov, z ktorych kazdy robi len to, na co bol stvoreny. ak by sa v nejakom z nich objavila chyba, utocnik by sa dostal len o maly krocik dalej a musel by prenikat aj ostatnymi vrstvami. dalsim prikladom by mohol byt JVM, ktory je taktiez 'rozvrstveny' a chyba v hociktorej vrstve neznamena kompromitaciu celej aplikacie. pridanim dalsieho kroku do procesu overovania znamena pridanie dalsej vrstvy ochrany, cez ktoru je potrebne preniknut -> zvysenie bezpecnosti systemu. je to len maly krok, ktory by mal byt spojeny s inymi vrstvami (napr. len jeden konkretny user ma pravo su na roota) avsak to ho nerobi o nic menej dolezitym. a aby som do toho zakomponoval aj tu vasu silu hesla - z mojho pohladu sa jedna o dalsiu vrstvu.
28.10.2007 12:40 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To je sice zajímavý přístup, ale zrovna v případě přihlašování jedním versus dvěma hesly poněkud divný, leda že by obojí zajišťovaly rozdílné přihlašovací mechanismy. Jde-li o díru v jediném mechanismu, nějak si nedokážu představit, že by byla zneužitelná dvakrát hůře než jednou. JVM bych zrovna jako příklad nedával. :-) SAP si musel vymyslet vlastní VM kontejnery, aby splnily jejich nároky.
28.10.2007 12:52 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
zase zly pohlad - ako som uz pisal, je velmi vhodne to spojit aj s inymi vrstvami. takze priklad, ako to mam ja:
- na roota nie je povolene priame prihlasovanie, najskor sa treba lognut na niekoho ineho (poznat jeho heslo) = prva vrstva
- treba poznat rootovo heslo = druha vrstva
- na roota sa mozem 'su-nut' iba ja = tretia vrstva

inymi slovami, potrebujes poznat dve konkretne hesla dvoch konkretnych userov a v tom je prave ta sila. pri modeli, ktory popisuje Michal, ti staci jedno konkretne heslo konkretneho usera. v konecnom dosledku je moj sposob 2x taky silny (a pouzivam tri vrstvy miesto jeho jednej).
28.10.2007 12:56 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
a este dodam, ze prelomenie ktorejkolvek jednej (prinajlepsom aj dvoch) z mojich troch vrstiev _NEZNAMENA_ kompromitaciu systemu. u Michala ano (kedze ma len jednu).
28.10.2007 13:09 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Prolomením vašich dvou/tří (ta třetí je ovšem jen iluzorní) vrstev se dostanete do přesně stejného bodu jako u mne po prolomení té jedné. S tím rozdílem, že ta moje jedna vydrží podstatně víc než vaše dvě/tři dohromady.
28.10.2007 13:11 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
inymi slovami, potrebujes poznat dve konkretne hesla dvoch konkretnych userov a v tom je prave ta sila

Jenže prolomit (hrubou silou) hesla těch dvou uživatelů je pořád výrazně snazší než prolomit to jedno moje.

28.10.2007 13:24 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Prolomením vašich dvou/tří (ta třetí je ovšem jen iluzorní) vrstev se dostanete do přesně stejného bodu jako u mne po prolomení té jedné. S tím rozdílem, že ta moje jedna vydrží podstatně víc než vaše dvě/tři dohromady.

Jenže prolomit (hrubou silou) hesla těch dvou uživatelů je pořád výrazně snazší než prolomit to jedno moje.

ach boze :) ty absolutne nechapes (alebo nechces chapat), o com hovorim. kolko krat mam zopakovat, ze o silu hesiel v tomto nejde ? to je dalsia vrstva a o nej tu vobec nehovorim (pretoze o nej nema vyznam hovorit - je uplne jasne, ze kazdy normalny admin na hesla velmi silne).
28.10.2007 13:30 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ty absolutne nechapes (alebo nechces chapat), o com hovorim. kolko krat mam zopakovat, ze o silu hesiel v tomto nejde

Ale jde. Odolnost vůči útoku hrubou silou závisí právě na síle těch hesel. A ani u jiných typů útoků (kromě naprosté slabomyslnosti systémáka - a ani tam ne vždy) to vaše opatření nic zásadního nepřidá. Dokonce v určitých situacích spíš naopak.

28.10.2007 13:01 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
precitaj si prosim ta cele vlakno. ja proste nechapem preco vsetci porovnavate hesla roznej dlzky/roznej sily!
Protože nejde pouze o to, zda něco zvýší bezpečnost nebo to bezpečnost nezvýší. Jde o to, jak moc to zvýší bezpečnost, a za jakou cenu.

Takže jedna možnost zvýšení bezpečnosti je prodloužit heslo roota o jeden znak. Bezpečnost se tím zvýší výrazně a náklady nejsou téměř žádné. Další možnost je vyžadovat přihlášneí přes dva uživatele. Bezpečnost se tím zvýší trochu, náklady budou vyšší (je třeba si pamatovat a psát více znaků hesel). Další možnost je třeba třeba zavolat čarodějku, která server na sto let zakleje ochranným kouzlem. Bezpečnost se v tomto případě nezvýší vůbec, náklady na shánění kořene madragory a dračího zubu budou nemalé :-)

Soudný člověk bude postupovat od těch možností zabezpečení, které přinášejí nejlepší poměr cena/výkon. Takže když chci zvýšit úroveň zabezpečení roota, nejjednodušší řešení je (pokud už chci mít povolené přihlašování helsem ze sítě) prodloužit heslo o jeden znak. Pak se podívám, jestli už mi to zabezpečení stačí. Pokud ne, odívám se na další možná řešení – a, ejhle, nabízí se možnost (opět s nejlepším poměrem cena/výkon) prodloužit heslo o ještě jeden znak. Takhle budu pokračovat, dokud nebudu se zabezpečením spokojen, nebo dokud nenarazím např. na nějaký limit, který by mi zabraňoval efekticně heslo prodlužovat (např. pokud se bude brát v úvahu jenom prvních 8 znaků hesla, nemá smysl ho prodlužovat za tuto hranici). Pak teprve přistoupím k řešení, které má nižší poměr cena/výkon – a zavedu třeba dvoustupňové přihlašování. Pokud to tedy vůbec bude mít smysl – pokud bych bezpečnost potřeboval zvýšit o 500 %, a dvoustupňové přihlašování mi ji zvýší o 1 %, musel bych aplikovat přihlašování přes 500 uživatelů, což asi nebude to pravé ořechové.
28.10.2007 13:29 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
v celom tomto ale predpokladas, ze heslo sa da prelomit iba hrubou silou a branis sa iba a len proti tomuto jednemu riziku. iny pripad som nacrtol tu. podobnych moze byt naozaj velmi vela a ja sa branim proti vacsine (a mozno vsetkym, to si ale netrufam tvrdit).
28.10.2007 13:32 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nebráníte. Dvě stejné překážky neznamenají kvalitativní posílení bezpečnosti a z kvantitativního hlediska znamenají pouze přenásobení časové náročnosti útoku konstantou 2. To je z pro praxi naprosto nezajímavé.
28.10.2007 13:36 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ale oni nie su rovnake :) to som ti predsa uz pisal - co teda jasne dokazuje, ze vsetko co pisem uspesne ignorujes a vidis len svoje argumenty.
28.10.2007 13:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nejsou? V čem je těžší prolomit druhé heslo než prolomit první?
28.10.2007 13:54 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
zase a len o sile hesla :) tvoj jediny argument.
28.10.2007 13:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Při posuzování odolnosti proti útoku hrubou silou ovšem dost podstatný. Posílení hesla je prostě lepší než vynucení dvoustupňového přihlašování. Žádná další opatření, která bych nemohl aplikovat také, jste nenabídl.
28.10.2007 14:42 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Take me prekvapuje Azuritova neschopnost systematicky argumentovat, nicmene musim rici, ze IMHO existuji rozumne modely hrozeb, proti kterym je vhodnejsi mit dvouurovnove prihlasovani heslem oproti jednourovnovemu prihlasovani heslem. Samozrejme ne proti utoku hrubou silou na heslo, tam je to bezvyznamne. Mozna rizika jsou treba odkoukani - pokud bych obe prihlasovani neprovadel obvykle ihned po sobe, pak obe zadavani hesel jsou relativne nezavisle udalosti a pri caste obmene hesel se tim prudce minimalizuje pravdepodobnost, ze nekdo ziska odkoukanim obe zaroven platna hesla. Dalsi mozna rizika jsou treba chyba administratora pri manipulaci s prikazy na upravu hesla ci podvrzeny ssh klient ktery loguje hesla, ale uz ne prubeh samotne komunikace (protoze je nasazen hromadne a samotna hesla maji mnohem lepsi pomer uzitecnosti/celkovemu poctu dat).
28.10.2007 14:46 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
bohuzial marna snaha, vsetky tieto argumenty som uz pouzil (a boli uspesne ignorovane)
28.10.2007 19:11 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Mozna rizika jsou treba odkoukani - pokud bych obe prihlasovani neprovadel obvykle ihned po sobe, pak obe zadavani hesel jsou relativne nezavisle udalosti a pri caste obmene hesel se tim prudce minimalizuje pravdepodobnost, ze nekdo ziska odkoukanim obe zaroven platna hesla.

Tady vidím problém v tom, že jakmile odkoukne to první, má získání toho druhého výrazně usnadněné. Už se nebude muset snažit ho fyzicky odkoukat při psaní na klávesnici, ale může začít používat rafinovanější triky, jako je podvržená verze příkazu su apod. (Schválně: kdo píšete důsledně /sbin/su? Bez mučení přiznávám, že já ne. Ale ono by to stejně neřešilo všechny možnosti.)

28.10.2007 13:47 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Bráníte se spíš proti menšině takových případů (protože ta chyba by těžko vypadala tak, že se jenom zapomene porovnat heslo, ale uživatele a jeho práva porovná; daleko spíš by ty chyba znamenala možnost komplet obejít ověření, atkže by uživatel získal roota rovnou, i kdžy mu to zakážete – výsledek je tedy stejný). Proti vašemu příkladu jde zase najít protipříklad, že bude chyba v su a dovolí se přepnout na roota bez hesla komukoli – proti tomu je vám zase vaše „třístupňová“ ochrana k ničemu.

A stále je to o tom, jaký je poměr ceny zabezpečení, a přínosu zabezpečení. Jaká je pravděpodobnost, že se bude pokoušet někdo heslo prolomit hrubou silou? Děje se to vcelku běžně. Jaká je pravděpodobnost, že budete mít na svém systému ssh, které povolí přihlásit uživatele bez znalosti hesla, ale jinak bude veškerá omezení respektovat, a někdo se pokusí váš systém napadnout přes tuto chybu? Pravděpodobnost je téměř nulová. Je opravdu rozumné zabývat se řešením tohoto hypotetického případu, nebo budete raději posilovat bezpečnost proti útokům, kterým musí váš počítat čelit každodenně?
28.10.2007 13:53 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Proti vašemu příkladu jde zase najít protipříklad, že bude chyba v su a dovolí se přepnout na roota bez hesla komukoli – proti tomu je vám zase vaše „třístupňová“ ochrana k ničemu.

akoze nie ? najskor sa musis k tomu 'su' predsa dostat. a je _OVELA_ lahsie dostat sa k SSH ako k su takze zase z tohto vychadzam lepsie ako Michal.
28.10.2007 13:55 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nevycházíte. Protože u mne bude pro útočníka podstatně těžší dostat se k shellu, než u vás k tomu su.
28.10.2007 14:04 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
akoze nie ? najskor sa musis k tomu 'su' predsa dostat. a je _OVELA_ lahsie dostat sa k SSH ako k su takze zase z tohto vychadzam lepsie ako Michal.
K tomu su se dostane každý uživatel počítače, který na něm má přístup k shellu nebo může spouštět programy. A nemusí překonávat žádné překážky.

To je ale mimo téma, o čem se tady půdoně diskutuje. Aspoň tedy předpokládám, že nepovažujete obranu před hypotetickou chybou v ssh za důležitější, než obranu před reálnými útoky hrubou silou.
28.10.2007 14:14 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ono je vůbec podceňování vnitřních útoků jednou z nejčastějších (metodických) chyb, kterých se správci systémů dopouštějí. Je to svým způsobem paradox, protože vnitřní útok je už z principu podstatně nebezpečnější než vnější.
28.10.2007 14:16 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
a kto ich podcenuje ? ved preto mozem su pouzit vyhradne ja.
28.10.2007 19:12 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jenže to vaše "ja" neznamená vás osobně (to počítač nepozná), ale kohokoli, kdo se vám dostane k účtu. A v kontextu, který tu řešíme, je to velmi podstatný rozdíl.
28.10.2007 14:18 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
preco by moje dve hesla, ktore budu kazde rovnako silne ako Michalovo jedno, mali dat prelomit rychlejsie ? nechapem. preco vlastne takto uvazujes ? ja mam presne to, co Michal + nieco naviac a ty mi tvrdis, ze moje riesenie je horsie :)
28.10.2007 14:26 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vaše dvě hesla se nedají prolomit rychleji, ale řádově stejně rychle jako Michalovo jedno stejně dlouhé. Vy tedy máte přesně to, co Michal, + ještě něco zanedbatelného navíc. Vaše řešení je pak horší psychologicky, a to proto, že to skoro nic, co máte navíc, vás uspokojí, a nebudete hledat už nic dalšího, co by vám bezpečnost doopravdy (řádově) zvýšilo.

Můžeme na to jí jinak. Na začátku máte roota bez hesla. V každém kroku můžete udělat jenom jeden krok zabezpečení – přidat jeden znak hesla, nebo přidat jednu vaši vrstvu – jednoho uživatele. Co uděláte jako první? Nastavíte rootovi heslo na jeden znak, nebo vytvoříte uživatele bez hesla, ze kterého můžete udělat su na roota (s prázdným heslem)?
28.10.2007 14:33 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
to, co hovoris, je uplne vykonstruovany pripad a s realnymi podmienkami nema absolutne nic spolocne. ja nechapem, ako niekomu moze byt obrovskou pritazou (keby bola mala, tak tu nemame co riesit) urobit o jedno prihlasenie viac - nazoaj to tak beries ? a pritaz je naozaj len to prihlasenie, konto bude existovat tak ci tak, heslo si budes musiet tiez pamatat. cize ide len o zadanie loginu a hesla, co konketne mne zaberie asi 5 sekund. je to pre vas naozaj tak vela aby ste ostatnym vnucovali nazor, ze je to zle a zbytocne ?
28.10.2007 14:37 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zadání dvou znaků hesla navíc, které mi zvýší bezpečnost na několikatisícinásobek, mi trvá půl sekundy maximálně. To jsem ale machr! :-D
28.10.2007 14:40 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
stale zohladnujes len silu hesla. moje riesenie pridava aj ine vyhody a ochrany, ktore su podla mna nezanedbatelne - svoje servere si vazim a rad obetujem 5 sekund na to, aby som maximalizoval odrazenie utokov rozneho druhu (aj ked nepravdepodobnych, nasledky su ale o to vaznejsie).
28.10.2007 19:14 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
moje riesenie pridava aj ine vyhody a ochrany, ktore su podla mna nezanedbatelne

Tak nás s nimi konečně seznamte. Zatím jste pouze operoval hypotetickou a krajně nepravděpodobnou chybou v SSH démonovi, což není zrovna dvakrát přesvědčivé.

28.10.2007 14:55 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vykonstruovaný příklad je to schválně, protože na něm je ten rozdíl dobře vidět (dokonce tak dobře, že to vidíte i vy). Ale klidně si tu délku hesla roota na začátku můžete zvolit. Jak se vám tu snaží Michal Kubeček ukázat, ať bude ta počáteční délka jakákoliv, vždy povede prodloužení hesla roota o jeden znak k řádově většímu zvýšení bezpečnosti, než přidání vaší „další vrstvy“ – uživatele, přes kterého se musí na roota suovat (to je pěkné české slovo :-) )

Jedno přihlášení navíc není obrovskou přítěží – ale vzhledem k tomu, že to má zanedbatelný vliv na zvýšení bezpečnosti, je ten poměr vložená práce / zvýšená bezpečnost dost špatný. Za názorem, že je to téměř zbytečné si stojím; a špatné je to proto, že bezpečnost se tím téměř nezvýší, ale neznalý uživatel bude mít pocit, jak moc pro bezpečnost udělal – protože předtím přece zadával 8 znaků hesla, a teď jich zadává 16, tak to tedy musí být něco, to je vlastně jako kdyby měl 16znakové heslo, a ještě musí uhodnout toho uživatele. Jenže ono je to ve skutečnosti pořád jako kdyby měl osmiznakové heslo a k tomu musel ještě určit, zda panna nebo orel.
28.10.2007 15:02 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
pripada mi, ze pre vas (ty, Michal,....) je 'prelomenie hesla hrubou silou' jediny typ utoku na svete :) snazite sa branit len proti nemu. viacstupnove prihlasenie navyse ochranuje (do urcitej, podstatnej, miery) aj pred inymi typmi utokov.
28.10.2007 15:14 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
viacstupnove prihlasenie navyse ochranuje (do urcitej, podstatnej, miery) aj pred inymi typmi utokov.
Trochu bych tu větu upravil: více stupňové přihlášení navíc ochraňuje (do určité, nejspíš nepodstatné) míry před jinými naprosto nepodstatnými typy útoků.

Typ útoku, který jste popsal (a před kterým vaše vícestupňová zabezpečení chrání), je stejně vykonstruovaný, jako moje konstrukce s prázdným heslem roota. Pokud už byste chtěl váš způsob zvýšení bezpečnosti propagovat, měl byste férově předeslat, že proti útoku hrubou silou nepřináší vaše vylepšení zabezpečení prakticky žádný přínos, proti známým typům útoků typu buffer overflow nebo spuštění podstrčeného kódu nepřináší také žádné zlepšení, ale přináší zlepšení v případě chyby „ssh zapomene ověřit heslo“, přičemž takový typ chyby zatím nebyl v žádném masověji používaném programu nikdy zaznamenán.
28.10.2007 15:41 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja som nehovoril, ze prinasa lepsiu ochranu proti utoku hrubou silou, len som obhajoval fakt, ze neprinasa ochranu horsiu (co Michal neustale tvrdi). ja som celkovo silu hesla do tohto celeho nepchal, robil to Michal takze nechapem, preto toto hovoris mne. to, ze ziadna taka chyba este nebola najdena nic nemeni na tom, ze sa nikdy nemoze objavit (a okrem toho bol to len jeden maly priklad chyby, pred ktorou ta to ochrani). uz som tu raz pisal, ze polovica vsetkych security utilit a nastaveni obranuje proti neexistujucim/neobjavenym utokom. podla teba je toto vsetko uplne zbytocne ? cize veci ako SElinux, grsecurity, AppArmor, ... (dalsich 1000 dalsich) su na nic a ich autori a pouzivatelia len stracaju cas ?
28.10.2007 16:09 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Objektivně nepřináší ochranu horší ani lepší, ochrana zůstane pořád (řádově) stejná. Vzhledem k tomu, jaké jsou kolem toho potřeba manévry, ale neznalému uživateli dá pocit, že teď konečně pro bezpečnost něco udělal a nemusí se zabývat dalšími metodami zabezpečení → ve výsledku tedy bude zabezpečení horší.

Asi stejně, jako když si někdo opentlí svůj favorit modrými ledkami a hned získá pocit, že to auto lépe jezdí i brzdí. Samotné ty ledky nezhorší jízdní vlastnosti auta, ale fakt, že majitel auta získal pocit většího bezpečí a bude jezdit hůř ve výsledku vede k tomu, že riziko nehody stoupne. Přitom kdyby si raději umyl okýnko, udělá pro svou bezpečnost víc. Jenže subjektivně bude mít dojem, že vlastně nic neudělal.

Celkovou sílu hesla do toho Michal zapojil proto, aby bylo nějaké srovnání. Vy neustále tvrdíte, že vaše řešení bezpečnost zlepší. Ale jak to zlepšení chcete měřit? Proto Michal zavedl jako měřítko zlepšení bezpečnosti jednoduchou operaci – přidání jednoho znaku hesla. V tomhle srovnání je už pak vidět, že vaše zlepšení zvýší zabezpečení asi tak o jednu dvacetinu toho, co přidání jednoho znaku hesla navíc.

Bezpečnostní nástroje chrání sice před zatím neobjeveným konkrétním útokem, ale chrání před již známým typem útoku. Nechrání před kdejakým typem útoku, který si dokážete vymyslet. Třeba proti útoku marťanů se taky servery málokdy chrání, přitom je to asi tak stejně pravděpodobné, jako že před něčím ochrání vaše vícestupňové přihlašování.
28.10.2007 16:13 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ake manevry preboha ? :) to sme myslim uz prebrali nie ? ziadne extra manevry sa nekonaju, o tom stale vsetci hovorite ako keby vam ruky odpali pri napisane jedneho hesla naviac :D doslova smiesne. prepac ale dalej necitam (len prvy odstavec), uz ma to nebavi, robte si security ako chcete, ja si budem robit ako chcem ja.
28.10.2007 16:23 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ono je rozdil delat security a stavet Potemkinovy vesnice :-)
28.10.2007 17:15 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ake manevry preboha ? :) to sme myslim uz prebrali nie ? ziadne extra manevry sa nekonaju, o tom stale vsetci hovorite ako keby vam ruky odpali pri napisane jedneho hesla naviac :D doslova smiesne.
Vzhledem k tomu, že to nepřináší prakticky žádné zvýšení bezpečnosti, jsou to zbytečné manévry.
28.10.2007 15:17 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jakymi? utoky na zjisteni hesla hrubou silou jsou ty zdaleka nejrozsirenejsi. pokud bude chyba v sshd, utocnik ziska roota rovnou bez nejakeho su(pohadky typu, ze sshd jen zapomene zkontrolovat heslo a ostatni nastaveni v sshd_config bude brat v potaz nechame stranou). jediny pripad, kdy by to pomohlo je, ze by se utocnik nejakym zpusobem dozvedel jen a pouze heslo roota a mel jen a pouze remote pristup. ovsem ruku na srdce - jak se to heslo muze dozvedet? odposlechnout, odkoukat, odlogovat primo z klavesnice - je nejaky duvod, proc by nemel stejnym zpusobem zjistit i to predchozi heslo, resp. jaka je pravdepodobnost, ze ho stejnym zpusobem neziska?
29.10.2007 00:41 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To jsem nevěděl -- su má nějaký bezpečnostní problém s autentizací uživatelů? Tady už je stejně všechno OT, tak alespoň naznačte.. :)
29.10.2007 09:05 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vy předpokládáte chybu v ssh a bezchybné su. Já jsem pouze upozornil na to, že to stejně dobře může být opačně. Navíc chyby, kdy je možné z lokálního účtu získat roota se občas objeví, na chybu, kdy by ssh zapomnělo kontrolovat heslo si opravdu nevzpomínám.
31.10.2007 02:29 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Díky za to upozornění. Tím "k tomu su se dostane každý..." jsem pochopil jako že každý se přes něj může začít přihlašovat, což mne zarazilo a myslel jsem, že má nějakou nedostatečnou či výrazně slabou ochranu, že ji každý hned obejde. Pokud jste myslel jen to, že se dostane k té binárce, tak to je podobné tomu, že se dostane k ssh na které třeba nemá přístup přes heslo nebo tak +-zhruba něco. Díky.
28.10.2007 13:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Jenže právě v tomto případě vaše idea vrstev nefunguje. Závislost náročnosti prolomení na délce hesla není lineární ale exponenciální. Proto zde ani zdaleka neplatí myšlenka, že dvě hesla určité délky jsou "dvakrát lepší". Tedy ona dvakrát lepší jsou - jenže právě jen dvakrát, zatímco "pouhé" jedno, ale o jediný znak lepší, bude odolnější 62-krát.

Protože jste dal opakovaně najevo, že čísla ani logika vás neoslovují, zkusím to ještě obrázkem. Na vodorovné ose máte počet znaků hesel dohromady (tj. náročnost pro správce), na svislé logaritmus* doby potřebné k prolomení hrubou silou (tj. náročnost pro útočníka). Červená křivka je vaše, modrá moje. Snad se shodneme na tom, že lepší je být "nahoře" (těžší pro útočníka) a "vlevo" (lehčí pro správce). Všimněte si, že ke kterémukoli bodu vaší křivky naleznu bod na své, který je od něj "vlevo nahoře", zatímco k žádnému bodu mé křivky nebudete schopen nalézt na své bod, který by od něj byl "vlevo nahoře".

pridanim dalsieho kroku do procesu overovania znamena pridanie dalsej vrstvy ochrany, cez ktoru je potrebne preniknut

Jsou-li ty dvě vrstvy založené na stejném principu, je přínos naprosto zanedbatelný a nestojí za ty komplikace. Proto je lepší, nejsem-li se současným stavem spokojen, zvýšit bezpečnost způsobem, který ji zvýší podstatně více a přinese méně komplikací.


* logaritmickou stupnici jsem zvolil proto, aby se obě křivky daly vůbec rozumně zobrazit v jednom grafu; rozhodně tím vašemu řešení neubližuji, spíš naopak: kdybych to neudělal, plazila by se vaše křivka hluboko u osy x

28.10.2007 13:19 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ten obrazok je nespravny pretoze prikladas velmi velku vahu tomu, ze sa treba 2x prihlasit. ale zjadne to je pre teba naozaj az taky problem (co ma teda udivuje). dvojite prihlasenie som _nikdy_ (ani vo sne :) ) nepovazoval za pritaz.

Jsou-li ty dvě vrstvy založené na stejném principu, je přínos naprosto zanedbatelný a nestojí za ty komplikace. Proto je lepší, nejsem-li se současným stavem spokojen, zvýšit bezpečnost způsobem, který ji zvýší podstatně více a přinese méně komplikací.

toto nie je pravda, pouziva sa sice rovnaky hashovaci algoritmus avsak sposob prihlasenia je rozny - napriklad, ak by sa v SSH objavila chyba, ktora by umoznovala obyst zadanie hesla, tak tvoje systemy pohoria, u mna sa roota pomocou toho nedostanes (a nehovor, ze je to vykonstruovany pripad - 'fixovaniu' neexistujucich/neobjavenych dier [teda predchadzaniu problemom] sa venuje polovica security utilit/nastaveni). taktiez hesla su navzajom rozne.
28.10.2007 13:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ten obrazok je nespravny pretoze prikladas velmi velku vahu tomu, ze sa treba 2x prihlasit

To je právě úplně jedno, jakou tomu přikládám váhu. Když si osu x přetransformujete jakoukoli rostoucí funkcí, dopadne to úplně stejně. Problém je, že ve vašem případě rostoucí není, protože vy potřebujete ten dobrý pocit, že pro "dobro věci" děláte víc práce. Že zbytečně, to vás netrápí.

napriklad, ak by sa v SSH objavila chyba, ktora by umoznovala obyst zadanie hesla

To by byla velmi specifická chyba, pokud by tam byla chyba takového kalibru, pak už je řádově pravděpodobnější, že mi umožní získat toho roota rovnou (protože útočníkovi umožní spouštět podvržený kód v kontextu sshd). Takže na tom nebudete o nic lépe než já.

taktiez hesla su navzajom rozne

Efekt tohoto opatření je celkem zanedbatelný, jak se vám celou dobu snažím doložit. Jenže výpočet ignorujete, logické argumenty odmítáte, ani obrázek interpretovat nechcete. Naštěstí se zdá, že jste jen jeden z mála.

28.10.2007 13:34 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
este raz hovorim, ze obrazok je nespravny. napriklad uz len preto, ze nikde nevidim vstupne hodnoty a vypocty - takychto 'obrazkov' by som ti aj ja mohol urobit stovky.

ano, je to velmi specificka chyba avsak je to len jeden jediny maly priklad. vidim, ze viac ich ani nema vyznam ukazovat kedze ty vsetko uspesne ignorujes a meljes len to svoj dookola (ak by si chcel odpovedat, ze to presne robim ja - podrobne som vysvetlil o com hovorim, ukazal som niekolko _dobrych_ prikladov a porovnani. ty robis to, ze stale dookola pises o sile hesiel).
28.10.2007 13:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

To jsem vám snad jasně popsal - na vodorovné ose je počet zadávaných znaků hesel, na svislé (desítkový) logaritmus počtu pokusů potřebných k prolomení hesla (na střední hodnotu bych to musel před zlogaritmováním vydělit dvěma, ale to na věci opět nic nezmění, jen by se obě křivky posunuly kousek dolů). Předpokládám abecedu 62 znaků, ale ani kdybyste vzal nejmenší myslitelnou hodnotu 26, na vyznění grafu se opět nezmění nic, jen se modrá křivka mírně sklopí (ale pořád bude vlevo nahoře od červené). Předpokládám, že vzorečky si dokážete odvodit sám.

ano, je to velmi specificka chyba avsak je to len jeden jediny maly priklad

Můžu vám ukázat desítky (spíš víc) chyb, kde buffer overflow umožní útočníkovi spuštění podvrženého kódu v kontextu démona. Ukažte mi aspoň jednu, kde nějaký démon (tak dlouho a tak široce používaný jako OpenSSH) jen tak z plezíru zapomene zkontrolovat heslo.

ukazal som niekolko _dobrych_ prikladov a porovnani

Kde? V této diskusi to nebylo. Tady logické argumenty (jasně, ty vy neuznáváte), čísla a dokonce už i grafy předkládám jen já (OK, nejen já, ale zatím nikdo, kdo by tvrdil totéž co vy).

28.10.2007 14:15 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
mozes mi vysvetlit, ako si do toho zahrnul tie dva kroky ? vari si to delil dvomi (aspon to tak vyzera) ? :)) mozes mi vysvetlit, preco ? dvomi by sa to malo praveze vynasobit. ze ty si zase predpokladal, ze to tvoje jedno je ovela silnejsie ako moje dve (resp. 2x silnejsie) ? :D mi pripadas ako politici z ich statistikami ;)
28.10.2007 14:53 Andrej Herceg | skóre: 43
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Deliť dvomi by sa to malo preto, lebo pri náhodnom hesle bude v priemere stačiť iba polovica pokusov na jeho uhádnutie (z celkového množstva kombinácií). V tom grafe ale nič vydelené dvomi nie je (to je napísané v tom príspevku vyššie).
28.10.2007 14:57 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
praveze je: dvomi je vydeleny pocet pokusov potrebnych k prelomeniu hesla v pripade cervenej krivky. mal by byt vynasobeny, kedze prelomit potrebujes dve rozne hesla.
28.10.2007 15:12 Andrej Herceg | skóre: 43
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Dve 18 miestne heslá sú viac ako jedno 18 miestne, ale kto by si pamätal dve tak dlhé heslá? (počet znakov môže byť akýkoľvek).

Bola tu anketa, v ktorej sa hlasovalo, koľko hesiel sa používa. Ja ich mám dosť veľa a pamätám si z nich iba minimum. Ak by som si ich mal pamätať dvojnásobný počet, tak by to bolo ešte horšie (a možno by som začal používať nejaké jednoduchšie heslá).
28.10.2007 15:43 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
rec bola teraz o korektnosti toho grafu - je zly a zavadzajuci (proste vyrobeny tak, aby podporil Michalove tvrdenia).
28.10.2007 19:21 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Tak mi v tom grafu na kterékoli z těch křivek ukažte hodnotu, která je podle vás spočítaná špatně. Nebo abyste to měl ještě jednodušší, tady máte zdroják pro gnuplot, kterým to bylo vykreslené:

set terminal png
set output 'pwd.png'
set xrange [0:25]
set yrange [0:25]
set parametric
plot [1:25] t,log(62**t)/log(10) with lines lw 2 lc rgbcolor "#0000C0" \
  title 'one step', \
  2*t,log(2*62**t)/log(10) with lines lw 2 lc rgbcolor "#C00000" \
  title 'two steps'

(Znalci nechť prominou, s gnuplotem pracuji jednou za uherský rok.)

28.10.2007 20:15 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
chyba je tu:
2*t,log(2*62**t)/log(10) with lines lw 2 lc rgbcolor "#C00000" \

toto nasobenie dvomi ti v konecnom dosledku vydeli moju hodnotu dvomi (kedze do t dosadis 2*t a potom pouzijes hodnotu t - logicky dostanes t/2). ked tam das len t, vyjde to ok. graf bude stale velmi skresleny prave koli tomu logaritmovaniu (ak by si nahodou nevedel, tak log znacne skresluje vysledky a robi sa prakticky len koli tomu, aby bolo mozne vykreslit graf). keby si ho vynechal, tak ti vyjdu presne hodnoty - a teda vyjde ti to, ze moje 'riesenie' je 2x lepsi ako tvoje. btw, v dokumentacii tu vidim funkciu log10() (takze mozes s nou vynechat to delenie na konci).
28.10.2007 20:57 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Přesně, správně to má být t,log(2*62**(t/2))/log(10) with lines lw 2 lc rgbcolor "#C00000" \.
28.10.2007 20:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Což je při kresení parametrického grafu opravdu podstatný rozdíl proti tomu, co tam mám... :-)
28.10.2007 20:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

To není chyba. Jasně jsem napsal, že na vodorovné ose je náročnost přihlášení pro správce systému. Ta je v mém případě n, ve vašem 2n. Logaritmus výsledky nezkresluje, protože nás zajímá jen porovnání (nahoře/dole a vlevo/vpravo) a logaritmus je rostoucí, takže výsledek porovnání zachová.

ak by si nahodou nevedel, tak…

Trochu neskromně si troufám tvrdit, že o tom něco malinko vím. Ale fakt nemám náladu na nějaké handrkování ve stylu "kdo vejš" a mlácení se diplomy, připadá mi to nedůstojné a už mnohokrát jsem si ověřil, že ta písmenka kolem jména sice nějakou vypovídací hodnotu mají, ale není dobré je přeceňovat.

28.10.2007 21:08 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To není chyba. Jasně jsem napsal, že na vodorovné ose je náročnost přihlášení pro správce systému.

tu

Ale fakt nemám náladu na nějaké handrkování ve stylu "kdo vejš" a mlácení se diplomy, připadá mi to nedůstojné

aha, tak preco si prednedavnom naznacoval, ze mas lepsie vzdelanie ako ja (to svoje si mimochodom neprezradil) ? a zrazu je nieco taketo pod tvoju uroven.. zaujimave
28.10.2007 21:29 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
tu

"Tu" je zcela mimo. Tam v podstatě jen opakujete, že vás náročnost pro správce nezajímá. Ale ani tak nechápu, proč nejste ochoten akceptovat řešení, které je proti vašemu bezpečnější i pohodlnější současně.

aha, tak preco si prednedavnom naznacoval, ze mas lepsie vzdelanie ako ja (to svoje si mimochodom neprezradil) ? a zrazu je nieco taketo pod tvoju uroven.. zaujimave

Pokud si opravdu myslíte, že je nezbytně nutné si ty centimetry poměřovat, tak těch let na matfyzu mám za sebou osm (budu-li počítat jen dobu, kdy jsem byl formálně studentem), nějaký ten diplom bych taky doma našel, riga hotová, k dokončení PGDS chyběla "jen" ta drobnost v podobě disertace (ale pak jsem se rozhodl, že matematikou se živit nebudu). Bude se vám teď lépe spát?

Jinak v tom příspěvku, na který se teď odkazujete, jsem nechtěl porovnávat formální vzdělání, ale jen mne zajímalo, čím je způsobeno vaše hluboké nepochopení formulace "za předpokladu A platí B". Skutečnost, že studujete třetí ročník matfyzu (pořád tajně doufám, že ne toho pražského), mi docela vyrazila dech. V dobách, kdy jsem cvičil, bych takovou ignoranci netoleroval ani prvákovi z bakalářského oboru (jakéhokoli).

28.10.2007 22:02 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ale nic neopakujem. vidim, ze pre teba ja naozaj brutalne narocne napisat par znakov naviac. normalny clovek urobi tych niekolko pohybov v pribehu par sekund a s minimom vynalozenej enerige. mozno mas nejaku poruchu pohybu prstov, neviem, ale ak ano, tak plne chapem o com sa tu cely cas bavime :) inak tiez nechapem, preco nie si ochotny akceptovat riesenie, ktore je oproti tvojmu znacne bezpecnejesie a takmer rovnako pohodlne (pre zdraveho cloveka). to nakoniec ukazal aj ten tvoj graf po odstraneni casti, ktore zamerne a vyraznym sposobom upravovali vysledky v prospech tvojho tvrdenia.

prosim ta, ake porovnavanie ? :) este nakoniec som s tymto zacal ja, hej ? :D porovnavat si sa chcel ty sam (vyssie je presny link) takze to, co tu hovoris, si chod hovorit do zrkadla (ak znesies sam seba).
28.10.2007 22:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
vidim, ze pre teba ja naozaj brutalne narocne napisat par znakov naviac

Není to brutálně náročné, ale nevím, proč bych si komplikoval život, když mohu mít mnohem větší zvýšení bezpečnosti za cenu mnohem menší ztráty pohodlí pro mne.

tiez nechapem, preco nie si ochotny akceptovat riesenie, ktore je oproti tvojmu znacne bezpecnejesie a takmer rovnako pohodlne

Protože kdybych chtěl (a potřeboval), mohl bych mít při podstatně menším omezení pohodlí podstatně výraznější zvýšení bezpečnosti.

prosim ta, ake porovnavanie ? :) este nakoniec som s tymto zacal ja, hej ? :D porovnavat si sa chcel ty sam (vyssie je presny link)

Kde je v tom mém příspěvku nějaké porovnávání? Já se jen zeptal, zda jste absolvoval aspoň nějaké základy matematické logiky. A to proto, abych věděl, jestli má smysl dál něco vysvětlovat. Protože s tak zásadním nepochopením významu implikace, jaké jste předvedl vy, se obvykle setkávám pouze u lidí matematickou logikou zcela nedotčených. U studenta třetího ročníku MFF je to ovšem naprosto alarmující.

si chod hovorit do zrkadla (ak znesies sam seba)

Nezaujatý pozorovatel si už jistě dávno udělal obrázek, kdo tu opakovaně ztrácí nervy a uchyluje se k osobním výpadům. Nemusíte mu to znovu a znovu předvádět.

28.10.2007 23:05 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
nedostatky v matematickych vedomostiach nemam, to sa len ty snazis presvedcit sam seba, ze to tak asi bude :) mimochodom, hovoril si nieco o osobnych vypadoch a o tom, ze ty ich nikdy nerobis ? nechapem potom, co ma toto byt.. zachvilu budes zrejme tvrdit, ze mi to vlastne nenapisal :)

si chod hovorit do zrkadla (ak znesies sam seba)

tak to si zrejme nepochopil ;) skusim jednoduchsie: veci, ktore hovoris, ze robim ja, robis v skutocnosti ty a mne sa len neuspesne snazis ich pripisat, co teda zacina byt uz neznesitelne :)
28.10.2007 23:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Možná až si své příspěvky přečtete s odstupem pár dní, uvědomíte si, jak jste mnohokrát přestřelil. Teď na to asi máte příliš horkou hlavu.
28.10.2007 23:42 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja mam pocit, ze je to presne naopak a toto je akasi tvoja taktika proti ludom alebo co - proste na mna hovoris to, ako sa sam citis. pripadne si uplne mimo v rozoznavani pocitov inych ludi :)
29.10.2007 00:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Už nejméně jednou jsem vás napsal, že o tento směr diskuse nemám zájem. Máte-li nějaké věcné argumenty, sem s nimi. Pokud hodláte jen pokračovat v osobních výpadech, tak si to užijte, ale nadále beze mne.
29.10.2007 01:26 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja ziadne osobne vypady nerobim, len sa branim tym tvojim.
29.10.2007 01:50 sandius
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
nedostatky v matematickych vedomostiach nemam, to sa len ty snazis presvedcit sam seba, ze to tak asi bude :)
(...)
Ach jo, člověče, tohle nemůžete myslet vážně... přiznejte se, že se jenom snažíte p. Kubečka vytočit?
29.10.2007 10:37 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
preco by som to robil ?
satanatas avatar 30.10.2007 14:31 satanatas | skóre: 14 | blog: vše co můžete s klidem hodit za hlavu ze světa linuxu i jiných světů | Graveyard
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
OT: hehe, tady to vypadá jako soutěž o nejužší příspěvek do diskuze :-}
31.10.2007 19:26 smrt
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A tenhle je jeste uzsi! ;-)
Michal Fecko avatar 31.10.2007 20:47 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Mno uz je druhy najuzsi, uz ale podomna nic nepiste, lebo sa abccku pokazi totalne styl... :-D
16.3.2011 18:40 hajoucha | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
já bych jenom technickou k této místy poměrně veselé diskusi: azurit nemusí být nutně ve třetím ročníku MFF. On pouze psal, že studuje třetí rok :) Samozřejmě to ale kvalitativně na závěrech kolegy Kubečka nic nemění.
28.10.2007 15:49 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Důvod je prostý. Máme k dispozici n znaků hesla. Když použijeme jen jedno, zbyde na něj celých n znaků, ale když použijeme 2 hesla, tak na každé zbyde už jen n/2 znaků.

Takže máme něco jako A = 2*26^(n/2), B = 26^n

Tvůj případ je A, Michalův B. Čím vyšší číslo vyjde, tím lépe. Vidíš, že se v tvém případě opravdu násobí dvěma.

Když to teď proženeme logaritmem, máme:

log A = (n/2)*log(2*26), log B = n*(log(26))

Tím se ty hodnoty přiblíží, takže jdou zobrazit v jednom grafu.

Je to opravdu fér porovnávat to takhle. Ale když vezmeme tu méně férovou variantu a budeme porovnávat bez toho dělení dvěma, tak sice vyhraje tvoje varianta, ale ten rozdíl kupodivu bude velice malý:

log A = n*log(2*26), log B = n*(log(26))
Real programmers don't comment their code. If it was hard to write, it should be hard to read.
28.10.2007 16:03 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Důvod je prostý. Máme k dispozici n znaků hesla. Když použijeme jen jedno, zbyde na něj celých n znaků, ale když použijeme 2 hesla, tak na každé zbyde už jen n/2 znaků.

co je toto za blbost ? :) kde sa hovorilo, ze hesla su rozne silne ? praveze cely cas hovorim, ze su silne rovnako (vsetky tri)!

ale ten rozdíl kupodivu bude velice malý:
log A = n*log(2*26), log B = n*(log(26))


dalsia blbost, pocitas to zle. v jednom pripade pouzivas 52 znakov a v druhom 26. tak ci tak to pocitas uplne chybne. cize (62 lebo Michal pocital s takou abecedou):
A = 2*log(62^5)
B = log(62^5)
28.10.2007 16:13 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
co je toto za blbost ? :) kde sa hovorilo, ze hesla su rozne silne ? praveze cely cas hovorim, ze su silne rovnako (vsetky tri)!
Asi to nemá cenu vysvětlovat. Komu není rady ... Třeba se k tomu ještě vrátíme, teď to nechme.
ale ten rozdíl kupodivu bude velice malý:
log A = n*log(2*26), log B = n*(log(26))


dalsia blbost, pocitas to zle. v jednom pripade pouzivas 52 znakov a v druhom 26. tak ci tak to pocitas uplne chybne. cize (62 lebo Michal pocital s takou abecedou):
A = 2*log(62^5)
B = log(62^5)

Takže nejdříve jeden středoškolský vzoreček:

log(a^n) = n*log(a)

Teď k věci. Já to totiž nejdřív spočítám a pak teprve zlogaritmuju. Jestli tam dám 26 nebo 62, to už je kosmetický rozdíl. Ty to ale evidentně násobíš až po logaritmování, takže to ve skutečnosti umocňuješ místo násobíš. Vidíš ten rozdíl? Opravdu rád bych dostal odpověď na tuhle otázku.

Real programmers don't comment their code. If it was hard to write, it should be hard to read.
28.10.2007 16:43 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ano, mas pravdu, robil som to zle. cize tu je spravne:
A = log(2*[62^n])
B = log(62^n)

A preto nevyjde dvojnasobok B, pretoze ten logaritmus to skresli (co je znama vec). celkovo je tam pouzity len na to, aby sa to zmestilo na maly obrazok takze ho mozes kludne vynechat a robit toto:
A = 2*(62^n)
B = 62^n
dostanes tym _presne_ vysledky a spravny graf.
28.10.2007 16:58 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Dobře, takže jsme se posunuli aspoň o kousek.

Teď mě zajímá další věc. Které srovnání ti připadá spravedlivější (a případně i proč):
  1. Jedno heslo délky (p+q)/2 versus dvě hesla délky p a q
  2. Jedno heslo délky (p+q) versus dvě hesla délky p a q
Možná by to byla zajímavá anketa.
Real programmers don't comment their code. If it was hard to write, it should be hard to read.
28.10.2007 17:10 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
obo je sa mi zda nespravne, hovorilo sa o troch heslach rovnakej sily (ja o tomto hovorim od zaciatku). teda:
3. jedno heslo dlzky p versus dve hesla dlzky p

mozeme ten vzorec este trochu upravit tak, aby sme zohladnili namietky typu 'musim sa 2x prihlasit' (namietky, ze si musim pamatat dve hesla neberiem, tie hesla by som si pamatal tak ci tak [kedze konto tam urcite mam]). takze navrhujem toto:
A = 1,5*(62^n)
B = 62^n
osobne by som to dal na 1,9 avsak vidim, ze druhe prihlasenie je pre niektorych extremne narocny proces :) co na to hovoris teraz ? ak by sme vykresili graf, moje riesenie vyjde ako jasny vytaz. AVSAK, ja som vobec nehovoril, ze najvacsia vyhoda tohto je v tom, ze bude prelomenie hrubou silou tazsie. toto mi do ust vlozil viac-menej Michal. pozri si povodny argument a odporucam aj toto + plus par reakcii nizsie (pochopis, ako to cele vidim ja)
28.10.2007 17:26 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ten tvůj bod 3 je speciální případ bodu 1, pokud zvolíš p=q. Což mimochodem naznačuje, že jsi se moc nad tím nezamyslel.

Tady nejde o to násobit složitost nějakým koeficientem, který by vystihl režii spojenou s tím, abych si pamatoval heslo navíc. Tady jde o to, že chci porovnávat případy, kdy si pamatuju stejný počet znaků, abych podobné koeficienty nemusel vůbec používat. Tedy případ 2.

Já tu nepolemizuju s tím, jestli je dobré používat dvojstupňové přihlašování, možná to nějaké typy útoků odrazí (mimochodem hlavně ty primitivní, ze kterých jde nejmenší nebezpečí - různé script kiddies). Ale chci, aby se porovnávalo spravedlivě.

Tedy například aby se řeklo, že sice odolnost proti brute-force útoku rapidně klesne (v řádu 62^n, kde n je délka hesla), ale zase bude systém odolný i proti jiným útokům.
Real programmers don't comment their code. If it was hard to write, it should be hard to read.
28.10.2007 18:04 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja s tebou viac-menej suhlasim ale zase hovorim, ze mi neslo hlavne o to, aby to bolo horsie prelomitelne hrubou silou. okrem toho som pisal, ze argument 'musim si pamatat heslo navyse' neberiem kedze to heslo si pamatas tak ci tak - kazdy admin ma na stroji este svoje sukromne, neprivilegovane konto. jedine, co robis navyse, je druhe prihlasenie. takze my tie pripady, kedy si pamatas rovnaky pocet znakov (o ktore ti vlastne ide), naozaj porovnavame.
28.10.2007 18:14 Marcel Šebek | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Já diskuzi radši nebudu více prodlužovat. Aspoň trochu shody jsme nalezli a nehodlám diskutovat o tom, jestli to opravdu stojí za to blokovat přímé přihlášení.
Real programmers don't comment their code. If it was hard to write, it should be hard to read.
27.10.2007 00:03 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
na admina sa mi zdas primalo paranoidny

Jen proto, že odmítám provádět efektně vypadající opatření a dávám přednost těm, která jsou skutečně efektivní? Budiž, s tím se dokážu vyrovnat. Chcete-li si mermomocí vyměňovat komplimenty, tak vy jste ve mně vzbudil pocit, že máte příliš povrchní myšlení a rád podléháte prvnímu dojmu místo toho, abyste o problémech přemýšlel do hloubky. Ale asi by nebylo (z obou stran) fér posuzovat někoho, koho neznáme, jen na základě dojmu, který na nás udělal v jedné diskusi.

28.10.2007 12:58 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
ja som nikde neovori, ze tato vlastnost zasadnym sposobom zvysi bezpecnost (praveze vyssie hovorim opak). aj male zvysenie je lepsie ako ziadne.
Problem je, ze zablokovani prihlasovani na roota ma casto negativni efekt na zabezpeceni. Pokud se prihlasuji primo na roota, tak se mohu prihlasit pomoci DSA klice (chraneneho heslem) a tento postup je odolny proti 'odkoukani' hesla (nebot heslo k DSA klici je bez DSA klice k nicemu). Pokud se ale prihlasim na lokalniho uzivatele a nasledne su nebo sudo na roota, tak uz musim zadavat heslo na roota nebo sebe a to heslo muze 'odkoukat' nekdo jiny a staci mu libovolny lokalni ucet (bez dalsich protiopatreni) pro ziskani roota.
30.10.2007 16:14 Sectio Aurea | skóre: 13 | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Problém je v tom, že vy se nám snažíte tvrdit, že nutností zadat dvě hesla netriviálně zvýšíte bezpečnost systému a že tudíž kvůli tomu stojí za to komplikovat správu systému. Já vám na to odpovídám, že kdyby útočník místo nutnosti zadat dvě hesla musel zadat sice jen jedno, ale o pouhý jeden znak delší, byla by to pro něj podstatně větší komplikace. Tedy že prodloužením hesla o jediný znak zvýšíte bezpečnost (proti útoku hrubou silou) řádově více než vynucením postupného zadání dvou hesel, a to při podstatně menším znepříjemnění života správci systému.
Pěkně se ta diskuze rozjela, píšu sem, abych nevyhrál vyhlášenou soutěž o nejužší příspěvek :-)
Vaše argumenty jsou sice z mat. hlediska správné, nicméně realita je taková, že pokud budou hesla dostatečně kvalitní a jejich délka dostatečná, nemáte s útokem hrubou silou šanci. To znamená, že máte-li heslo dlouhé n nebo n+1 znaků nehraje žádnou významnou roli, protože ani jedno neprolomíte hrubou silou dostatečně rychle.
Vrstvení vám navíc dává výhodu proti jiným typům útoků,kde může útočníkovi významným způsobem ztížit pozici.
2.11.2007 23:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
nicméně realita je taková, že pokud budou hesla dostatečně kvalitní a jejich délka dostatečná, nemáte s útokem hrubou silou šanci. To znamená, že máte-li heslo dlouhé n nebo n+1 znaků nehraje žádnou významnou roli, protože ani jedno neprolomíte hrubou silou dostatečně rychle.

Výborně! Konečně si to někdo uvědomil. (To není ironie, to myslím naprosto vážně.) Vtip je v tom, že zvýšení bezpečnosti dvoustupňovým přihlašováním zvýší bezpečnost naprosto nepodstatně a navíc ještě v místě, kde to tak jako tak není potřeba, a kdyby bylo (proto jsem také pořád zdůrazňoval formulace typu "pokud už mám potřebu zvyšovat odolnost proti útoku hrubou silou), dá se mnohem snáze dosáhnout mnohem více. Proto ho považuji za opatření sice efektně vypadající (Považte! Musí zadat dvě hesla!), ale z praktického hlediska naprosto nezajímavé.

Vrstvení vám navíc dává výhodu proti jiným typům útoků,kde může útočníkovi významným způsobem ztížit pozici.

Pořád se snažím vyzvědět jak, ale bohužel mi to nikdo nechce říct. Ty argumenty, které tu zatím padly, byly dost slabé, spíš šlo o pocity než o fakta.

3.11.2007 12:10 Sectio Aurea | skóre: 13 | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nepodstatné se mi spíše zdá prodloužení už kvalitního hesla o další znak, tím nepřidáváte do ochrany nic nového proti útočníkovi.
Odkoukání dvou hesel je ve většině případů složitější, než odhalení jednoho hesla. Kdy si představuji člověka, který se snaží heslo zahlédnout. Pokud si samozřejmě šikovně nainstaluje někam skrytou kameru, tak uvidí obě hesla :-) Může dojít ke zcizení hesla roota, které bylo uloženo na externím, snad bezpečném, místě. Potom bude muset útočník buď zjistit další heslo nebo získat přístup k lokálnímu stroji. Nicméně abych nesklouznul pouze k případu dvou hesel, spíše jsem komentoval použití více vrstev. Nikoliv nutně více hesel. Na první vrstvě mohu použít např. klíč na druhé až heslo apod.
3.11.2007 12:48 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nepodstatné se mi spíše zdá prodloužení už kvalitního hesla o další znak, tím nepřidáváte do ochrany nic nového proti útočníkovi.

Naprosto souhlasím, že je nepřidávám nic podstatného. Ale pořád přidávám podstatně víc než vy dvoustupňovým přihlašováním.

Pokud si samozřejmě šikovně nainstaluje někam skrytou kameru, tak uvidí obě hesla

Taky se koukám na CSI. Ale vždycky když zaslechnu větu "Teď mi to zvětšete a doostřete.", obracím oči v sloup a uvažuji, kolik z těch technologií, které tam používají, je stejně smyšlených.

Může dojít ke zcizení hesla roota, které bylo uloženo na externím, snad bezpečném, místě.

Teď mi připadáte jako někdo, kdo posuzuje bezpečnost vchodových dveří podle toho, jestli je odemkne někdo, kdo najde klíč pod rohožkou.

Nicméně abych nesklouznul pouze k případu dvou hesel, spíše jsem komentoval použití více vrstev.

To je ovšem velmi podstatný rozdíl. Použít dvě vrstvy má smysl, pokud jsou ty vrstvy principiálně různé. Když dáte za sebe dvě stejné vrstvy, efekt je mizivý a výsledek nestojí za vynaloženou námahu.

3.11.2007 16:07 Sectio Aurea | skóre: 13 | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Naprosto souhlasím, že je nepřidávám nic podstatného. Ale pořád přidávám podstatně víc než vy dvoustupňovým přihlašováním.
:-) Jelikož vaše řešení má jen jeden krok, a to zadat silné heslo a v druhém řešení zadáme v prvním kroku také silné heslo, tak po prvním kroku jsou na tom obě řešení stejně. Tak nevím jak můžete tvrdit, že vaše řešení přidává podstatně víc.
Taky se koukám na CSI. Ale vždycky když zaslechnu větu "Teď mi to zvětšete a doostřete.", obracím oči v sloup a uvažuji, kolik z těch technologií, které tam používají, je stejně smyšlených.
Já také koukám na CSI a v podobných situacích kroutím hlavou. Nicméně to nemá nic společného s tím co jsem napsal. O žádné kameře na parkoviští nebo algoritmu, který umí rozlišit nápis v novinách odražený ve zpětném zrcátku automobilu, který se odráží ve výkladní skříni 200 metrů daleko jsem nepsal :-) Utočníkovi postačí jednoduchá kamerka z mobilu v dostatečné blízkosti klávesnice, s přímým výhledem na klávecnici. Nemluvě o tom, že heslo z klávesnice lze odposlechnout i s použitím mikrofonu.
Teď mi připadáte jako někdo, kdo posuzuje bezpečnost vchodových dveří podle toho, jestli je odemkne někdo, kdo najde klíč pod rohožkou.
Opět jsem nic takového nepsal :-)

Heslo roota je uložené na bezpečném místě pro případ, že by se osobě, která ho zná, snad něco stalo apod. Bezpečné místo může být různé pro různé lidi. Bankovní trezor, trezor v kanceláři ředitele, bezpečnostní skříň v archivu, bezpečnostní schránka doma u živnostníka. Tj. získání tohoto hesla není snadné jako nalezení klíče pod rohožkou, ale ani nemožné. A pokud jsou dveře dostatečně pevné nezbyde jiná možnost než nějáký ten klíč opravdu nalézt, ale ne pod rohožkou. Toto celé jsem výše uvedl jako příklad v čem je vícestupňové řešení bezpečnější, protože po nalezení klíče od vašeho domu máme přístup do celého domu. Kdežto v případě nalezení klíče u mého domu musíte překonat ještě jedny stejně silné dveře, tj. získat další klíč od dveří.
Použít dvě vrstvy má smysl, pokud jsou ty vrstvy principiálně různé. Když dáte za sebe dvě stejné vrstvy, efekt je mizivý a výsledek nestojí za vynaloženou námahu.
Toto nelze obecně tvrdit, dvě stejné vrstvy mohou být stejně užitečné. Vaše argumentace platí pouze v případě, že prolomením jedné vrstvy získáme obrovskou výhodu k prolomení další vrstvy. Pokud tedy budeme mít dva případy: (1.klíč, 2.silné heslo) nebo (1.silné heslo, 2. silné heslo) k překnání 1. vrstvy potřebujeme u obou zcizit (klíč nebo silné heslo), což nám nedává žádnou výhodu k překonání druhé vrstvy. Rád bych ale připomněl, že se nesnažím obhajovat použití konkrétně pouze dvou hesel, ale více vrstev obecně, kterými mohou být i dvě hesla, když to vyhoví požadavkům na bezpečnost.

PS: Tato diskuze je dost rozsáhlá a nepřehledná, ale v mnoha směrech zajímavá. Existuje na abíčku nějaká delší :-) ?
3.11.2007 22:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Utočníkovi postačí jednoduchá kamerka z mobilu v dostatečné blízkosti klávesnice, s přímým výhledem na klávecnici.

Asi máme diametrálně odlišné představy o tom, odkud a za jakých podmínek se přihlašovat na servery.

Heslo roota je uložené na bezpečném místě pro případ, že by se osobě, která ho zná, snad něco stalo apod. Bezpečné místo může být různé pro různé lidi. Bankovní trezor, trezor v kanceláři ředitele, bezpečnostní skříň v archivu, bezpečnostní schránka doma u živnostníka. Tj. získání tohoto hesla není snadné jako nalezení klíče pod rohožkou, ale ani nemožné.

Jsou jen dvě možnosti: buď je to těžší než nabourání se do systému obvyklým způsobem a pak bych se měl zabývat tím, jak zabezpečit obvyklé cesty. Nebo je to těžší, a pak zase nemá (v tuto chvíli) smysl se zabývat tím, co je na počítači. Na úrovni paranoie, na které se tu pohybujeme, je ale už samotná myšlenka "schovaného hesla roota" značně pochybná.

Vaše argumentace platí pouze v případě, že prolomením jedné vrstvy získáme obrovskou výhodu k prolomení další vrstvy.

Vůbec ne. Snažím se vám vysvětlit, že nasazením dvou stejných vrstev za sebe získáte prodloužení časové náročnosti útoku na dvojnásobek za cenu dvojnásobné náročnosti i pro řádného uživatele. Oproti tomu změnou parametrů té vrstvy obvykle docílíte řádově většího navýšení náročnosti pro útočníka při podstatně menším zvýšení náročnosti pro řádného uživatele.

Rád bych ale připomněl, že se nesnažím obhajovat použití konkrétně pouze dvou hesel, ale více vrstev obecně,

A já zase netvrdím, že přidávání vrstev je chyba (nebo zbytečné) všeobecně. Tvrdím, že jsou-li dvě vrstvy konstrukčně stejné, nestojí výsledek za tu námahu.

Existuje na abíčku nějaká delší?

Mnohem delší… (ale už jsme za polovinou)

AraxoN avatar 26.10.2007 22:28 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Až sa mi niekto naloguje na server a bude sa snažiť prelomiť root-a hrubou silou odtiaľ, tak si to všimnem minimálne na grafe mrtg a budem sa tým zaoberať. Na druhej strane, už sa mi raz neřád dostal na server cez obyčajný account a root-a získal bez toho aby sa obťažoval hádaním hesiel. Proste tam cez wget downloadol nejaký exploit z rumunskej stránky a už bolo po vtákách... Nasledoval rootkit, backdoor a len boh vie čo všetko ešte.

Odvtedy máme prihlasovanie povolené len z niekoľko mála IP adries - pre Vás asi obfuscation, ale funguje znamenite.
A fine is a tax for doing wrong. A tax is a fine for doing well.
26.10.2007 22:54 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Omezení přihlášení na několik málo IP adres není dle mého názoru žádné zatemňování (obfuscation), ale řádný způsob zabezpečení.

Za Michala si netroufám hovořit, nicméně nevkládejte prosím ostatním do úst něco, co nikdy neřekli. Značně to snižuje úroveň vaší argumentace.
26.10.2007 23:30 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ani já si nemyslím, že omezení loginu na omezenou množinu IP adres je zcela nesmyslné opatření (samozřejmě za předpokladu, že jsou ty stroje v rozumné míře důvěryhodné). Osobně bych ho ale asi nenasadil, i když z trochu jiných důvodů - hlavně proto, že by mne takové opatření mohlo dost nepříjemně "kousnout do zadku" v okamžiku, kdy by se mi některá z těch adres nečekaně změnila nebo kdy bych nutně musel narychlo provést akutní zásah odjinud.
frEon avatar 26.10.2007 23:44 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kdyz uvazim ze vetsina utoku pochazi ze zahranici, rozumnym kompromisem pak je tedy nasadit omezeni na pripojeni treba jen na uzemi CR pomoci iptables v kombinaci s geoip.
Talking about music is like dancing to architecture.
7.1.2009 23:25 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ackoliv se temer vzdy a vsude prihlasuju na roota pres ssh, jednu bezpecnostni dirku to ma.

Je tady urcita moznost (velice mala), ze nekdo odposlouchava sitovou komunikaci. At uz lokalnim keyloggerem (mel bych asi cukani zadavat root heslo nekde v nejaky inetovy kavarne) nebo man-in-the-middle utokem. Pokud se prihlasujes vzdalene na roota pres heslo, tak utocnik ziska heslo a muze se prihlasit a ma roota na serveru. Pokud se vzdalene prihlasujes na uzivatele a na serveru se prepnes na roota pres su a heslo, tak utocnik sice ziska prava uzivatele, ale ne prava roota.

Toto se velice jednoduse da vyresit prihlasovanim pres klice (proti odposlechu) a kontrolou fingerprintu serveru (proti man-in-the-middle).

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
25.10.2007 12:55 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Proč je podle vás přímé přihlašování jako root „nedobré“? Proč sudo a ne su?
satanatas avatar 25.10.2007 13:02 satanatas | skóre: 14 | blog: vše co můžete s klidem hodit za hlavu ze světa linuxu i jiných světů | Graveyard
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Proč sudo a ne su? - protože určitě ubuntu :-} take používam (k)ubnutu a sudo také, ale ne protože je to bezpečnější, ale protože mě to tak vyhovuje
tsLnox avatar 25.10.2007 17:54 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
já používám debian a sabayon a sudo mi vyhovuje, ale pokud potřebuji udělat víc věcí pod rootem za sebou tak nevidím důvod proč ne su :) prostě podle situace...
Marián Kyral avatar 25.10.2007 22:14 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Já používám sudo su ;-)
25.10.2007 23:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To už jsem také párkrát viděl, ale nikdy jsem nepochopil, k čemu to má být dobré…
26.10.2007 02:36 SigTERM
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
tse, tak se to nedela, pouziva se "sudo -s" :P ;)
satanatas avatar 26.10.2007 12:48 satanatas | skóre: 14 | blog: vše co můžete s klidem hodit za hlavu ze světa linuxu i jiných světů | Graveyard
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Marián Kyral avatar 26.10.2007 23:31 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To není totéž co sudo su. Navíc "-" se na klávesnici blbě hledá ;-)
Marián Kyral avatar 26.10.2007 23:29 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Když si pro sebe u sudo nastavím přihlášení bez hesla, tak mám root terminál bez hesla.

U sebe na desktopu si to můžu dovolit :-)
7.1.2009 23:26 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
pro normalni lidi co si sednou k ubuntu a strasne je to stve...

su = sudo bash
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
the.max avatar 25.10.2007 22:06 the.max | skóre: 45 | blog: Davidovo smetiště | Bílina
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
hehe asi dalsi bububuntista:-D
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu
25.10.2007 15:23 mt
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
viz man adduser napr. useradd -u 0 -o gobo
atan avatar 25.10.2007 21:12 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Kdyz se chci prihlasit jako root, ale chci mit roota zakazaneho pres DenyUsers (ne pres PermitRootLogin), a nechci pouzit sudo ani su -, tak si vytvorim nejakeho uzivatele s neslovnikovym jmenem a dam ho do gid=uid=0. Proc to tak chci? Je to bezpecnejsi, a protoze napriklad sftp pres WinSCP (a snad ne jenom) mi neumozni su na roota, apod.
25.10.2007 21:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Security by obscurity jak vyšitá.
atan avatar 25.10.2007 21:49 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Az na to, ze riziko je v tomhle pripade minimalni. Jen v pripade, ze utocnik ma pristup k /etc/passwd se riziko zvysuje. Coz ale je taky malo pravdepodobny.
25.10.2007 22:52 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Tak ono na security by obscurity naní nic špatného, mailbox nebo cache prohlížeče je taky chráněný/a podobným způsobem a rozhodně to nikdo nebude měnit. Je to prostě jeden ze způsobů ochrany, třeba jako změna portu pro ssh a maskování či skrývání běžících služeb a pod.
25.10.2007 23:02 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ne, security by obscurity není způsob ochrany. To je jen takové hraní si na zabezpečení. Přesně ve stylu našich politiků - je potřeba, aby bylo vidět, že se něco dělá, tak se něco udělá. Cokoli. Jestli to pomůže, na tom vůbec nezáleží, hlavně že to dobře vypadá.
26.10.2007 00:13 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ja bych rekl, ze zpusobem ochrany je. Jen je potreba si radne uvedomit pred cim cloveka ten ktery zastiraci manevr ochrani a pred cim nikoliv.
26.10.2007 00:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To je jednoduché: před ničím. Jen mu dodává falešný pocit bezpečí.
28.10.2007 20:15 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Tak to asi ne. Pokud si ssh povesim na jiny port nez 22, tak to vyznamne snizi sanci, ze muj server bude napadnut novym, jeste neopravenym, exploitem, pomoci nehoz si nejaky vtipalek buduje botnet. Napriklad.
28.10.2007 21:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A to je právě ten falešný pocit bezpečí, o kterém mluvím.
28.10.2007 21:20 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A kde se v mem prikladu ona fales skryva?
28.10.2007 21:31 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
V představě, že mimo port 22 vás nikdo hledat nebude. A také v tom, že pokud máte v systému taková hesla, aby vás ty plošné scany musely znepokojovat, je to problém samo o sobě bez ohledu na port.
28.10.2007 21:45 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ja si ovsem nepredstavuju, ze me nikdo nebude hledat mimo port 22. Co si predstavuju je, ze pokud nekdo hleda jakykoliv volny pocitac, tak si tukne na 22 a kdyz neuspeje, pokracuje dalsi adresou. Poznamce o heslech prilis nerozumim, netvrdil jsem, ze to je nahrada za slaba hesla.
28.10.2007 22:03 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Tu poznámku jsem myslel tak, že pokud máte rozumně silná hesla, pak vás tyto plošné scany nemusejí moc zajímat ani v případě, že budete na portu 22 a nenasadíte žádný automatický blacklisting po určitém počtu neúspěšných pokusů. A pokud je nemáte, neměl byste mít pocit, že je vše v pořádku, ani když budete na jiném portu.
28.10.2007 22:17 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A proto jsem vyslovne hovoril o exploitu, abyste me hned nezacli krizovat pro podezreni na dvouznakova hesla. Vidim, ze marne.
28.10.2007 23:37 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To na věci zase tak moc nemění.
29.10.2007 20:30 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Na ktere veci? Zminku o exploitu jsem tam daval prave proto, aby napr. sila hesel nehrala roli.
29.10.2007 23:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Démon sedící na nedefaultním portu nebude vůči tomu exploitu o nic odolnější než na defaultním a projít porty netrvá nijak přehnaně dlouho (nemluvě o tom, že mnohdy není potřeba ani portscan a stačí chvilku sledovat komunikaci). Podceňovat nepřítele je ta největší chyba, jaké se můžete dopustit. To máte jako třeba v šachách: slabí hráči (a to vím moc dobře, sám jsem nikdy nebyl silným) také mají tendenci uvažovat stylem "na tohle sice nevím co zahrát, ale snad ho to nenapadne"; ale s tím se daleko nedostanete.
30.10.2007 00:15 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Takovou hovadinu, ze by zmena portu zabranila exploitu (ackoliv ciste teoreticky se podobne se chovajici chyba muze vyskytnout) tady snad nikdo netvrdi, opet nechapu proc to zminujete.

U nepratel je dulezity sirsi pohled, je treba odhad schopnosti a moznych strategii/taktik ruznych skupin nepratel. Takze polopaticteji: ano, pokud nekdo pujde primo po me, pak mi zmena portu nepomuze, v ostatnich pripadech to je velice levny a ucinny zpusob, jak se schovat v davu. A pred cim schovani v davu muze chranit vizte vyse.

30.10.2007 10:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Takovou hovadinu, ze by zmena portu zabranila exploitu (ackoliv ciste teoreticky se podobne se chovajici chyba muze vyskytnout) tady snad nikdo netvrdi, opet nechapu proc to zminujete.

Tak k čemu je to tedy dobré?

A pred cim schovani v davu muze chranit vizte vyse.

Nevidím to tam. Nejdřív jste naznačoval, že odstěhování sshd na nedefaultní port nějak pomůže proti exploitům v případě, že je v démonovi chyba, teď jste (podle mne naprosto správně) připustil že ne. Že to nepomůže (nemělo by - a pokud ano, je problém jinde) proti útokům hrubou silou (ať nahodilým nebo cíleným), to jste připustil už dříve. Tak proti čemu to podle vás pomůže?

30.10.2007 11:15 .
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vzhledem k tomu, že autoři exploitů nemusí zveřejnit informace o svých nově nabytých znalostech dostatečně včas, nemusím mít k dispozici opravenou verzi programu dostatečně brzy. Dále pak se snažím několik hodin denně spát. Proto se může stát, že vadný program není nahrazen včas. Ale po tu kritickou dobu mě může maskovací síť ochránit. Nemusí, ale může.
30.10.2007 14:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
O autorech exploitů tu ale není řeč. Člověka, který je schopen najít bezpečnostní chybu v sshd a vytvořit k ní exploit, rozhodně schování sshd na nedefaultní port z míry nevyvede.
30.10.2007 15:29 .
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
No dobře. Ono to bylo stejně jenom řečnicky.

Já to mám nastavené ještě daleko paranoidněji. Na roota se sice přihlašuji přímo, ale pouze přes vpn, případně ze zcela konkrétní ip adresy. Do světa porty ssh neotevírám. Rootovské heslo si bezpečně pamatuji pouze na svém vlastním počítači, jinde je (vzdáleně) téměř nepotřebuji. Pamatuji si pouze svoji passphrase ke klíčům. Klíče nosím u sebe a nevěřím nikomu :-) Tím pádem spím poměrně klidně.
30.10.2007 16:05 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Ne že bych byl nějaký safety expert, ale jaký je rozdíl mezi bezpečností sshd a bezpečností VPN řešení?
30.10.2007 11:18 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nezabrani exploitu, zabrani (resp. vyznamne snizi sanci) jeho spusteni proti serveru. Protoze z hlediska nepritele, ktery namatkove hleda volne pocitace, nema smysl u kazdeho z tech milionu serveru, ktere na 22 neposlouchaji, skenovat kvuli ssh i vsechny ostatni porty.
30.10.2007 14:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nezabrání ani jeho použití, to v žádném případě. Co se týká snížení rizika, ani tady bych nepropadal přehnanému optimismu. Jednak, jak už jsem napsal, odmítám stavět zabezpečení na předpokladu, že útočník je hloupý. Jednak by mne zajímalo, zda jste si skutečně dělal nějakou statistiku (nebo o nějaké víte), kolik těch útoků opravdu zkusí jen defaultní port a kolik se podívá i na jiné. Já to třeba nevím - a připadalo by mi nezodpovědné jen tak čistě na základě pocitu stavět na předpokladu, že těch prvních je výrazná většina. A za třetí si uvědomte, že ti script kiddies exploity nevymýšlejí a dostanou se k nim až ve chvíli, kdy vejdou ve všeobecnou známost a kdy jsou u rozumně vedených projektů k dispozici i opravy. Ty plošné útoky jsou v naprosté většině buď útoky proti dávno známým a dávno opraveným chybám (ale pořád je po světě dost neupdatovaných systémů, takže si své oběti najdou) nebo útoky na extrémně slabá hesla (podívejte se do logu, kolik jich takový útočník stihne vyzkoušet). Proto mne daleko víc znepokojuje fundovaný útočník - a proti tomu je schování sshd na nedefaultní port naprosto k ničemu.
30.10.2007 17:33 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Problem je, ze ackoliv tvrdite opak, ve skutecnosti predpokladate, ze utocnik je hloupy. Staci, kdyz se sam vzijete do role utocnika - posoudite co muzete ziskat plnym scanem vsech pocitacu (treba si nahodne zvolte nekolik zivych adres a otestujte, kolik z tech, kteri maji na 22 prazdno, provozuji sshd nekde jinde), jaka budou negativa (nezpomali to vyhledavani prilis? nemuze takovy provoz na cilovem pocitaci pozornost?). Udelejte si nejakou pracovni hypotezu, porovnejte ji s logem ze svych pocitacu...
31.10.2007 08:28 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zaměňujete cílený útok na konkrétní stroj (nebo úzký okruh strojů) a plošný útok s cílem „najít nějaký nezabezpečený počítač“. V prvním případě samozřejmě útočník nemá problém proskenovat všechny porty. Ve druhém případě opět postačí silné heslo roota (a aktualizované aplikace), protože nikdo, kdo dělá plošný sken, se nebude pokoušet lámat 16znakové heslo, ale prostě jen zkusí pár (možná desítek) slovníkových hesel.
31.10.2007 09:47 Sinuhet
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To je najaka chyba na abicku, ze se moje prispevky ostatnim uzivatelum vubec nezobrazuji? Nemate me na ignore listu? Porucha na trase? Nebo proste jen neumite cist?
31.10.2007 10:29 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nikoli. Pouze jsem nepochopil, zda píšete o plošném útoku, nebo o útoku na nějakou konkrétní síť. Pokud jde o druhý případ, opět nesmíte podceňovat útočníka. Nesmíte si myslet, že má k dispozici jediný počítač s jednou IP adresou, a že má na útok čas 90 minut. Útočník, který bude hledat slabinu v nějaké konkrétní síti, může tu síť sledovat a testovat dny, týdny, třeba i měsíce. Porovnejte si tu dobu s vaším „nezpomalí to skenování“ nebo „neprozradí se tím útočník“?

Takže to, co popisujete (krátký čas na skenování, záznamy v logu) atd. se týkají plošného útoku, kdy se script kiddies pokoušejí odhalit nějaký nezabezpečený počítač – tj. buď slabé heslo, nebo neaktualizovaný software. Všimněte si, že schovávaná na jiném portu se slabým heslem nebo bezpečnostní dírou vás „ochrání“ před script kiddies, ale neochrání vás před cíleným útokem někoho znalého. Naproti tomu silná hesla (nebo ještě lépe klíče) a aktualizovaný software vás chrání jak před někým znalejším, tak před script kiddies.
2.11.2007 23:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pochopte, že útočník, který je "chytrý" ve smyslu vašeho příspěvku, je pro mne od určité úrovně zabezpečení nezajímavý. Nebo obráceně: mám-li stroj nakonfigurovaný aspoň přiměřeně rozumně, bude pro útočníka, o kterém teď mluvíte nezajímavý on. Chce-li jen s co nejmenším úsilím najít nějaký stroj, do kterého by se dostal, zkusí pár elementárních triků a půjde o dům dál (a je mu to jedno, protože najde dost jiných, kde bude mít větší šanci na úspěch). Nebo snad předpokládáte, že ten útočník, kterého předpokládám já, těch pár triků nezkusí, protože by to bylo pod jeho úroveň?
4.11.2007 22:22 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Huh, by me zajimalo, o jake uroveni zabezpeceni to mluvite, ze vas chrani proti novym, jeste neopravenym, exploitum? Ten zbytek, to mam chapat tak, ze je zcela vylouceno, aby si nekdo stavel botnet za pomoci noveho exploitu? Ja nerikam, ze se to deje kazdy den, pouzem jsem to uvadel jako protipriklad (ten nejjednodusi co me zrovna napadl) k tvrzeni, ze security by obscurity nechrani proti vubec nicemu. "Naklady" se zmenou portu nejsou zadne, takze i kdyby se z toho dala vytezit jen tato jedna vyhoda, tak jsem na tom IMHO porad o neco lepe, nez jakykoliv stejne nakonfigurovany stroj s ssh na standardnim portu.
5.11.2007 08:02 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
"Naklady" se zmenou portu nejsou zadne
Jsou – např. nepřihlásíte ze sítě s restriktivním firewallem, případně váš ssh provoz spadne při shapingu někam mezi stahovače a P2P.
30.10.2007 16:30 Matlák
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
No mne například rozčilují ty 100 000 řádkové výpisy /var/log/messages kde je pořád jenom "Invalid user admin, Invalid user guest ..... " takže jsem na základě příspěvku Sinuheta změnil port a jsem klidnější, i když to se skutečnou bezpečností stroje příliš nesouvisí.. tupé automaty oklamu a tím pádem se mi výpis mnohem snadněji prohlíží. Toť vše. Pokud by chtěl přímo můj stroj někdo cracknout a nějaký exploit existuje, nepomůže mi nic - leda bych si napsal vlastní program pro vzdálenou správu :-)
31.10.2007 08:42 blatnak
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
SSH-daemona soupnu rekneme na port 61852 a na porty 61851 a 61853 nastavim past, ktera v okamziku kdyz se tam nekdo pokusi pripojit danou adresu zablokuje pres iptables - kde je chyba ... ?
31.10.2007 09:06 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
V tom že předpokládáte, že útočník bude porty skenovat postupně seřazené jeden po druhém z jedné IP adresy.
31.10.2007 17:27 blatnak
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To jako ze bude mit k dispozici 64000 adres, kazdou dedikuje pro scanovani jednoho urciteho portu a ty, pak to nahodne setridi a pusti ?

Nebo ma utocnik k dispozici nejaky inteligentnejsi zpusob ?
31.10.2007 18:04 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Není potřeba mít jednu adresu na každý port.

Ostatně pokud přidáte IP adresu na blacklist jen na základě toho, že přišel paket s její zdrojovou IP adresou na uzavřený port, není potřeba se do počítače nijak složitě vlamovat. Ten váš blacklistující skript bohatě stačí k tomu, aby počítač efektivně vyřadil z jakékoli komunikace se světem. Mení nad to poskytnout v rámci urputného zabezpečování útočníkům kvalitní nástroj pro DoS přímo na „chráněném“ počítači.
2.11.2007 23:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
takže jsem na základě příspěvku Sinuheta změnil port a jsem klidnější

A to je právě ta chyba, před kterou se tu snažím varovat. Protože odstěhování sshd na nedefaultní port rozhodně není důvod k tomu, abyste byl o sebemenší chloupek klidnější. Pokud vám vadí ty hlášky v logu, tak si je potlačte nebo odfiltrujte do samostatného souboru.

26.10.2007 09:15 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Dobře řečeno. Je třeba si být vědom toho, před čím to pomůže a před čím ne. Samozřejmě když říkám, že to je jeden ze způsobů orchrany, tak tím nemyslím, že to je dostačující způsob ochrany, tak hloupý zase nejsem, kdyby to snad nějakého namyšlence napadlo :)
26.10.2007 09:12 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nemáte pravdu, a to tak že vůbec. Maskování je jeden ze základních obranných prvků čehokoliv a na Zemi se vyskytuje od nepaměti. Snižuje pravdepodobnost napadení, což je výrazná výhoda. Jako alternativa připadá totiž pouze možnost být nejsilnější ze všech a odolat všemu. To jsou ovšem nereálné představy.

Samozřejmě existují fanatici, co by vojáky posílali do boje bez maskování s odůvodněním, že proti jadernému zásahu by jim to stejně nebylo platné. Mám někdy pocit, že patříte mezi ně :)
26.10.2007 09:22 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pak tu máme třeba také šifrování :) Jak vidno, dokumenty nejsou nikde zabetonované v trezoru tak, aby se k nim nikdo nedostal. Naopak, jsou přístupné a snadno k mání -- jen jsou písmenka nahrazena jinými písmenky. Jedním slovem -- změť :)

Další možnost -- nejste vidět nebo vypadáte jako někdo jiný. Až do momentu odhalení vám to poskytuje bezpečí. (Dle vašich domněnek zbytečný a neúčinný pocit bezpečí, protože bez devítky nemáte šanci?)
26.10.2007 09:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Já bych ovšem řekl, že stěna bunkru vás proti kulce ochrání lépe než maskovací plášť. Vy doporučujete maskovací plášť (a určitou naději, že nikoho nenapadne na vás vystřelit), já poctivou cihlovou zeď (a jistotu, že i když vystřelí, nic se vám nestane). Každý nechť si vybere podle svého…
Marián Oravec avatar 26.10.2007 10:03 Marián Oravec | skóre: 22 | Nitra
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Súhlasím s Vami, ale bunker s poctivou tehlovou stenou, ktorý je naviac zakrytý maskovacím plášťom je predsa len o niečo lepší...
Mám rád elektro, ale vypočujem si aj iné...
atan avatar 26.10.2007 11:07 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Zed dava utocnikovi jistotu cemu celi. Maskovaci plast nikoliv. Navic maskovaci plast dava mobilitu, tzn. vyssi moznosti oproti zdi. A o to tady slo.
26.10.2007 11:48 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
a určitou naději, že nikoho nenapadne na vás vystřelit

Nejde vůbec o to, že ho to nenapadne, jde o to, že prostě s velkou pravděpodobností jednoduše nevystřelí, protože o mně nebude vědět, pokud nebude mít žádné informace o mé existenci, nebo alespoň lokaci.

Proč myslíte, že se krade a policejní zásahy dělaj mezi 2 a 3 hodinou. Asi je jasné, že to je jak pro zloděje tak pro policisty šílená, nenormální a obskurní hodina. Mnohem pohodlnější by bylo třeba 10 dopoledne... (a podle vás i obrněný náklaďák s ramenem v případě zlodějů auta, či tanková pěchota s leteckou podporou v případě policejního zásahu, protože spoléhat se na to, že bude majitel spát je "falešný pocit bezpečí".)

Můžete (nemusíte) to vidět i obráceně -- v bunkru či za zdí všichni ví, že tam jste, kde jste, a může si vesele útočit tak dlouho, dokud vás někdo z nich nedostane, ona i ta zeď může mít nějakou slabinu, něco proletí střílnou, odražená kulka a je po vás. I tomu tedy lze říkat falešný pocit bezpečí. V bunkru o kterém nikdo neví přežijete o něco déle, toť vše.
26.10.2007 12:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jenže ty mechanismy, které navrhujete vy, vaši bezpečnost nezvýší ani trochu. Dodají vám jen dobrý pocit, že jste něco udělal. Když bude někdo bez rozmyslu střílet naslepo, maskovací plášť vám nepomůže ani trochu. A přesně to odpovídá tomu, co se děje na Internetu. Myslíte snad, že většina útoků, které vás na Internetu čekají, je vedena někým, kdo se cíleně a cílevědomě snaží nabourat právě do vašeho konkrétního počítače? Ani zdaleka. Nemluvě o tom, že techniky, které propagujete, vám nepomohou ani proti takovému útočníkovi. Jsou prostě k ničemu, kdybyste polovinu úsilí, které věnujete vymýšlení a realizaci řešení založených na security by obscurity, věnoval skutečnému zabezpečení, pomůžete bezpečnosti podstatně více.
atan avatar 26.10.2007 13:37 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Tohle uz je cira demagogie.
26.10.2007 17:14 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pořád lepší než (jako vy) čtenáře přesvědčovat, že je v jejich zájmu vymýšlet nesmyslná opatření, která bezpečnosti nijak nepřispějí.
26.10.2007 20:12 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Security by obscurity je nejúčinnější právě proti těm nahodilým útokům, jejichž počet výrazně eliminuje a snižuje tak riziko, že se z náhodného střelce stane někdo, kdo na vás začne střílet záměrně.

Naopak není účinná proti někomu, kdo už o vás ví a rozhodl se vás zničit.

Vy tvrdíte úplný opak, což vzbuzuje dojem, že strategie asi není vaše silná stránka a sázíte na řešení tak říkajc hrubou silou.

Pokud zakážu přihlášení na roota, trvá to několik sekund, možná půl minuty. Nevím, kolik času by zabralo "skutečné zabezpečení (C) M.K." ale myslím, že to čtvrt minuty nebude. Ono někdy by stačilo věnovat polovinu času co člověk prokecá na abclinuxu :D
26.10.2007 20:18 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Dá se říct, že vlastně tvrdíte i to, že hodnota informací je mizivá až žádná...

Něco jako že když útočník zná přihlašovací jméno, verzi ssh démona a řadu dalších informací popisující váš systém, tak je nebezpeční průniku stejně velké, jako když nic z toho neví, protože vy přece máte to vaše "opravdové zabezpečení".

Jenomže informace mají cenu, a ne malou.
26.10.2007 21:37 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Něco jako že když útočník zná přihlašovací jméno, verzi ssh démona a řadu dalších informací popisující váš systém, tak je nebezpeční průniku stejně velké, jako když nic z toho neví, protože vy přece máte to vaše "opravdové zabezpečení".

Ne, pouze tvrdím, že pokud lépe zvolím heslo, například tím, že místo obvyklých osmi znaků bude mít 9 nebo 10, ztížím mu ten útok řádově více než technikami, které prosazujete vy. A bude mne to stát řádově méně úsilí. O variantě, kdy autentizaci heslem zakážu úplně a budu se přihlašovat pouze klíčem, ani nemluvě…

27.10.2007 11:02 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Systém, na který se root může hlásit 10místným heslem rozhodně není "řádově bezpečnější", než systém, na který se root nemůže přihlásti vůbec :D

Leda... leda byste root login považoval za takovou "návnadu", na které by potenciální útočník vyčerpal své zdroje a neměl dost sil na jiný způsob průniku.

Ale... nejsem si jist, jestli jste zrovna tuhle obskurní variantu měl na mysli :D
27.10.2007 11:05 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Takže podle vás:
silné zabazpeční -- root s 10 místným heslem (velmi ztížen průnik)
slabší zabezpečení -- bez roota (moc práce a průnik není ztížen)
nejslabší zabezpečení -- pomocí ssh klíče (strašně moc práce a efekt vlastně na houno)
Dobré :)
27.10.2007 11:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Hezké, vy trpíte rozdvojením osobnosti, že se hádáte sám se sebou? :-)
27.10.2007 15:32 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pouze jsem shrnul vaše úvahy do uceleného závěru, docela to za to stálo :D
28.10.2007 03:44 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nic jste neshrnul. Vymyslel jste si naprosté nesmysly, které nemají s mými příspěvky nic společného.
27.10.2007 11:11 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Problémem je, že způsob, který navrhujete vy, není ani zdaleka "systém, na který se root nemůže přihlásit vůbec". Je to systém, kde k získání stejných privilegií stačí zadat dvě hesla. A já se vám celou dobu snažím vysvětlit, že prolomit jedno desetiznakové heslo je řádově těžší než prolomit (postupně) dvě osmiznaková. Takže budu-li si vybírat mezi vaším nápadem (vynucení postupného zadání dvou hesel) a prodloužením toho jednoho, volím samozřejmě druhou variantu.
27.10.2007 15:30 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Jenomže prolomit desiti a osmiznakové heslo je řádově těžší, než jen jedno desetiznakové. A stejně tak, jako vy teď nebudete přidávat další písmena do hesla, tak já nebudu přidávat další vrstvy ochrany, ok? ;)
27.10.2007 15:34 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Nemluvě vůbec o tom, že v prvním případě musíte uhodnout i uživatelské jméno...
28.10.2007 03:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A teď jste tomu nasadil korunu aplikací principu security by obscurity. Takže ještě jednou: dělat z přihlašovacího jména druhé heslo a snažit se ho utajovat je naprostý nesmysl. Přihlašovací jméno je identifikační údaj, ne autentizační. Raději použijte pořádné heslo, pak nebudete muset vymýšlet absurdní opatření ve snaze o vytvoření iluze vyšší bezpečnosti.
28.10.2007 04:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Mimochodem, i kdybych na tuto hru přistoupil a volil login name stejným způsobem jako heslo a také věnoval stejné úsilí snaze ho utajit (což je u přihlašovacího jména dost problematické), jediné, co by se tím změnilo, bude nahrazení faktoru 2 u vaší techniky hodnotou 3. Proti mnou nabízeným 62 (nebo přinejhorším 26) - a to při výrazně menší míře komplikací pro správce systému - mi to nepřipadá jako nějaká zásadní výhra…
28.10.2007 03:50 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Pokud budu důvěřovat, že deset znaků je dost, klidně vystačím s jedním desetiznakovým. A pokud ne, dostanu na 11 znaků podstatně vyšší míru odolnosti, než budete mít vy se svými osmnácti…

To je pro vás tak těžké přiznat, že při porovnání dvou variant, z nichž je jedna výhodnější v obou posuzovaných kritériích, není důvod volit tu, která je v obou kritériích méně výhodná? Nebo pokud máte nějaké kritérium, ve kterém je varianta 8+8 výhodnější než 9, tak nás s ním konečně seznamte. Tedy kromě toho, že to vypadá efektněji.

28.10.2007 06:43 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
"Jenomže prolomit desiti a osmiznakové heslo je řádově těžší, než jen jedno desetiznakové."
Zvláštní, já myslel, že to není težší ani o jedno procento... :-D (Má-li abeceda hesel 10+ znaků.)
28.10.2007 11:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Začínám se obávat, že tady bohužel matematika nic nezmůže. Kolegové prostě prvoplánově vidí, že 10+8 je 18, a připadá jim to jako ohromné posílení bezpečnosti. Že si mohou snadno spočítat opak, to je nezajímá.
28.10.2007 11:42 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To by ještě nebylo až tak hrozné, jako podstatně horší problém vidím to, že někteří tvrdí, že jsou ve třeťáku na matfyzu... :-( (Snad ne "třetím rokem jako uklízečky"?)
28.10.2007 12:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

To mne také vyděsilo. Přeci ta škola nemohla za těch pár let tak strašně upadnout.

Faktem ovšem je, že kdykoli někdo ignoruje logiku, jsem v koncích, protože nevím, jak bych měl vlastně argumentovat. Hrát na city? Že je chyba snažit se aplikovat logiku na "běžný život", to mi už tvrdila spousta lidí. Ale je že je chyba používat logiku v informatice, to na mne ještě nikdo nezkoušel…

28.10.2007 16:26 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
V tomto případě se právě jedná o ten reálný život, kde jsou samí Čímani denně hádající hesla na admina, testa a guesta a sales a NIKDY nehádající hesla na kubecek :)
28.10.2007 19:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Až na to, že za prvé se můj uživatelský účet nejmenuje kubecek a hlavně za druhé to, jak se skutečně jmenuje, snadno zjistí každý, kdo ode mne dostal nějaký mail (nebo si ho našel v archivu některého diskusního listu na webu) a pravděpodobně ten login name snadno zjistí i každý, kdo si dá pár minut práce s prohledáváním mých příspěvků na tomto serveru (a nejspíš bude existovat i spousta dalších možností). Takže spoléhat na to, že do mého účtu nikdo bourat nebude, by mi připadalo krajně nezodpovědné.
17.3.2011 08:53 hajoucha | skóre: 21
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
obávám se, že situace je tato: škola existuje, to co prakticky neexistuje je výuka. Jsou jenom talentovaní jedinci, kteří se tu a tam objeví. Je to dáno zcela jednoduše tím, že jíst musí chytří i hloupí.

A jak říká Jára Cimrman:
Když děti vyrostou, vykročí do života, v němž odstrkovaný
 nakonec stejně ostrouhá, naivní sedne na lep chytrákovi 
a zatímco si na člověku smlsne kdejaká havěť,
 jeleni se klidně pasou
Jinak řečeno, opravdu je to zřejmě mnohem horší, než si připouštíte. Otázkou zůstává, jak z toho ven?

Osobně se domnívám, že odpovědí je kultura. V tomto zde myslím odvádíte velmi dobrou práci, což je skvělé.
27.10.2007 13:19 jaja
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vy mate system na ktery se spravce systemu nemuze prihlasit vubec?
27.10.2007 15:27 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
To byla jen zkratka -- účastníci diskuze ví, že je tím myšleno přihlášení na roota přes ssh.
26.10.2007 21:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Asi toho nechám, budujte si vesele dál svá pseudozabezpečení a žijte si blaze v představě, že tím něčemu pomůžete. Každý svého štěstí strůjcem…
26.10.2007 23:39 Lukáš Džunko | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Bolo tu spomenute uz vselico ale zasadna vec nie :o) ked si odpustim komentare ako bezpecnost a podobne, tak pre system nebude ziadny root2. Vsetko co bude pustene, vykonane, ... bude pod accountom root. napr ked root2 si povie ze si zmeni heslo a nepovie to passwd, tak bude menit heslo pre root account. vis
lukas ~ # grep 1001 /etc/passwd
jeden_admin:x:1001:1014::/home/jeden_admin:/bin/bash
druhy_admin:x:1001:1014::/home/druhy_admin:/bin/bash
lukas ~ # su druhy_admin
jeden_admin@lukas /root $ id
uid=1001(jeden_admin) gid=1014(jeden_admin) groups=1014(jeden_admin)
jeden_admin@lukas /root $ passwd
Changing password for jeden_admin
bdw. ja som tiez zastancom postupu: login na normal account a az potom su (sudo, sesu, sesudo, ..), kedze utocnik potom musi uhadnut nielen jedno heslo, ale dve aj nazov account ktory ma pravo na *su* prikazy. Spolu s limitovanim poctu pokusov napr pridavanim casu medzi zadaniami, ... to vie dost obmedzit moznosti utocnika/ov.
26.10.2007 23:52 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Bolo tu spomenute uz vselico ale zasadna vec nie :o) ked si odpustim komentare ako bezpecnost a podobne, tak pre system nebude ziadny root2. Vsetko co bude pustene, vykonane, ... bude pod accountom root. napr ked root2 si povie ze si zmeni heslo a nepovie to passwd, tak bude menit heslo pre root account.

To máte samozřejmě pravdu a je to důležitý postřeh, jen bych to ještě trochu upřesnil: pro systém (jádro) ve skutečnosti nic takového jako uživatelské účty neexistuje. Pro jádro mají jen procesy jakási číselná (E)UID/(E)GID a soubory jakási číselná UID/GID a při vyhodnocování práv se tyto hodnoty podle jakéhosi algoritmu porovnají. Uživatelské účty jsou vlastně jen berlička pro některé user space aplikace, které tu a tam podle jakési tabulky převedou textový identifikátor (login name) na UID nebo naopak.

Vlastně tak úplně pravdu nemáte, protože to, komu se změní heslo, spustíte-li passwd bez argumentů, bude záležet na tom, kterou položku vám vrátí getpwuid() - a to za určitých okolností nemusí být root, ale ta druhá. Totéž se týká třeba nastavení proměnné USER v (Bourne) shellu, výstupu příkazu id, výstupu 'ls -l' apod.

27.10.2007 16:17 Lukáš Džunko | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Vlastně tak úplně pravdu nemáte, protože to, komu se změní heslo, spustíte-li passwd bez argumentů, bude záležet na tom, kterou položku vám vrátí getpwuid() - a to za určitých okolností nemusí být root, ale ta druhá.
Suhlasim. Co sa stane zavisi od /etc/nsswitch.conf, poradi riadkov v /etc/passwd, ...
Ja som len chcel poukazat na problem, ktory sa da cakat od takehoto riesenia, kedze jadro pracuje len s cislami :o)
28.10.2007 05:50 ####
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
tadle myslenka je naprosto uchylna a popira jekokoliv chapani standartniho minimalniho bezpecnostniho modelu co je v jadre.
28.10.2007 11:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Úchylného na ní není nic. Jen se na to nesmíte dívat jako na dva různé uživatele, ale jako na dva aliasy pro jeden účet. Tedy podobně jako v případě hardlinku ve filesystému.

To je mimochodem velice názorná analogie, tam také musíte oddělit skutečný soubor (i-node + alokační bloky) a adresářovou položku, která se na něj pouze odkazuje. Přitom na tentýž soubor (i-node) může odkazovat i více adresářových položek a nebo také žádná (např. smažete-li všechny adresářové položky, ale se souborem stále nějaký proces pracuje). Rozdíl je jen v tom, že UID na rozdíl od souboru nemůžete vytvořit ani smazat.

28.10.2007 13:10 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Panebože už toho nechte.

Na linuxu bude vždy pouze jeden vedoucí root tak jak jedna vedoucí strana, který bude mít UID=0 a je jedno zda se na něj budu moci přihlásit pod X různými jmény a pod X různými hesly vždy to bude pouze jeden root co může dělat všechno.

A jaký smysl bude že budeš mít dvě hesla na roota ?

Když budu mít roota tak si tam vytvořím třeba třetího roota a i když mě potom účet root2 zrušíš tak se ti tam dokážu stejně dostat přes root3 co jsem si tam udělal.

Prostě když se ti bude root chtít pomstít tak si nepomůžeš a pokud jsou root normální lidi tak je lepší se přihlašovat přes normální účet a používat su, sudo a pod..... pak se v logu oběví kdo jaké změny dělal a pod...samozřejmě pokud je root hajzl........tak pomůže pouze přeinstalování toho OS.
28.10.2007 16:31 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Proboha už toho nechte...

...

...tak je lepší se přihlašovat přes normální účet a používat su, sudo a pod.

To jste ale neměl říkat -- pošlem na vás Kubečka a ten vám vysvětlí, že to je zbytečný opruz, že anonymní Číňan je menší nebezpečí, než nebeská pohodlnost zadávání jediného hesla :)
28.10.2007 16:43 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
kdyz se to odcituje cele, tak to hned vypada jinak, ze?
je lepší se přihlašovat přes normální účet a používat su, sudo a pod..... pak se v logu oběví kdo jaké změny dělal a pod
z bezpecnostniho hlediska to vsak nijak vyrazne lepsi neni. prave naopak - musis porad psat heslo. To o te pohodlnosti vypravej nejakemu spravci, ktery ma na starosti vic jak 5 serveru.
Josef Kufner avatar 28.10.2007 17:45 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Pokud mám tolik serverů, tak si to vyřeším např pomocí sudo. Tedy /etc/passwd na všech serverech můžu smazat takto:
while read server
do
   ssh normalni_user@$server sudo rm -f /etc/passwd
done < vsecky_servery.list
Pokud mám autentizaci klíčema a sudo se neptá na heslo, je to v pohodě a bez zadání jediného hesla. Přitom mě to i nadále chrání před vlastní blbostí (nepoužívám roota stále, ale jen když je potřeba).
Hello world ! Segmentation fault (core dumped)
28.10.2007 19:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Drobný problém je, že pokud to máte opravdu tak, jak naznačujete, pak je úplně jedno, jestli se vám útočník nabourá na roota nebo na normalni_user, protože normalni_user stejně může všechno co root. Takže pak mi připadá bránění v přímém přihlášení pod rootem dost samoúčelné.
Josef Kufner avatar 28.10.2007 20:42 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Z pohledu bezpečnosti před útokem nějakého záškodníka ano. Pokud však server používám i k něčemu jinému než abych se o něj jen staral, tak jsou k tomu důvody stejné jako na desktopu. I když je fakt, že pak můžu rozlišit uživatele už při přihlášení...

Další výhodou přihlašování přes normálního uživatele by mohlo být zjištění kdo (přes jaký účet) a odkud to byl, pokud se logy ihned odesílají na jiný počítač (aspoň to, že se přihlásil tam bude).
Hello world ! Segmentation fault (core dumped)
28.10.2007 21:05 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Mně se právě nelíbí ta koncepce, kdy existuje normální uživatelský účet (používaný pro běžnou práci), který je oprávněn spouštět jakýkoli příkaz bez zadání dodatečného hesla. Protože pak mne fakt, že nepracuji trvale pod rootem, chrání už jen před vlastními překlepy a zbrkle odeslanými příkazy.

Další výhodou přihlašování přes normálního uživatele by mohlo být zjištění kdo (přes jaký účet) a odkud to byl, pokud se logy ihned odesílají na jiný počítač (aspoň to, že se přihlásil tam bude).

To máte pravdu. Ale pokud se takové logování používá, pak je většinou ten logovací server pod stejnou správou jako jednotlivé stroje, které ho využívají. Samozřejmě ne vždy, ale velice čast to tak je.

Josef Kufner avatar 29.10.2007 13:02 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Mně se právě nelíbí ta koncepce, kdy existuje normální uživatelský účet (používaný pro běžnou práci), který je oprávněn spouštět jakýkoli příkaz bez zadání dodatečného hesla. Protože pak mne fakt, že nepracuji trvale pod rootem, chrání už jen před vlastními překlepy a zbrkle odeslanými příkazy.

Ale co si budem nalhávat, tohle je asi největší bezpečnostní riziko :-D
Hello world ! Segmentation fault (core dumped)
29.10.2007 13:41 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Největší bezpečnostní riziko je obvykle uživatel. To je celkem nepříjemné, protože toto riziko u většiny systémů nelze zcela eliminovat… :-)
28.10.2007 18:46 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
U toho bych neuspěl, používá klíče...
28.10.2007 18:58 Petr_N | skóre: 3 | Všetaty
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jo, k autentizaci uzivatele root :-)
29.10.2007 05:33 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Přesně.
xkucf03 avatar 29.10.2007 17:36 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
A co když nejde síť/ssh? :-P
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
29.10.2007 17:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Když nejde síť, je riziko vzdáleného útoku poměrně nízké. :-)
29.10.2007 12:16 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
Příspěvky v diskuzi co slovo to řádek, přes dvě stě odpovědí... to se pozná debata, ve které vystupuje Michal Kubeček. Nikdo jiný by totiž tu trpělivost neměl.

(Ale přiznávám se, taky nemám povolené přihlašování na roota ;-))
Quando omni flunkus moritati
frEon avatar 29.10.2007 14:18 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2
jo tu trpelivost obdivuji take.
Talking about music is like dancing to architecture.
29.10.2007 16:50 Asmodov
Rozbalit Rozbalit vše azurIt versus Kubeček - shrnutí
Takovou míru ješitnosti a zabedněnosti co tady předvedli tito dva pánové jsem ještě neviděl :-(

do {
  azurIt: zablokování přímého přihlášení na roota u sshd zvýši bezpečnost systému (za jinak nezměněných podmínek)
  Kubeček: obskurní a pracné, zvětšením hesla o jeden znak se obrana proti útoku hrubou silou zvýší podstatně více
} until (stop_speaking("azurIt","vůz") and stop_speaking("Kubeček","koza"));
Přitom oba mají pravdu, ale každý chce mít poslední slovo za každou cenu. Více rozumu a nadhledu bych očekával u staršího z diskutujících, ale p. Kubeček mě v tomto zklamal.

Jinak pokud si dobře pamatuju, tak azurIt tady celkem nedávno získal administrítorský účet p. Krátkého, tak bacha ať si to s ním nerozházíte. Ten chlapec má talent, ikdyž ten skript napsal jak prase :-D

29.10.2007 17:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí

Víte, kdyby šlo jen o mne a o Azurita, nechal jsem toho už dávno, protože mi ta debata začíná silně připomínat nedávnou diskusi s jedním člověkem, který tak dlouho obhajoval neobhajitelné, až začal tvrdit takové perly, jako že vztažná soustava spojená s bourajícím autem je inerciální (později se to snažil svést na nějaký sociologický experiment nebo sázku či co).

Jenže tu diskusi si čtou a budou číst i další. Mezi nimi i uživatelé nezkušení a problematiky neznalí, kteří by snadno mohli podlehnout povrchním argumentům typu "dvě hesla jsou samozřejmě bezpečnější než jedno" a místo skutečného zabezpečování systému aplikovat opatření typu zákazu přímého přihlášení na roota a podlehnout tomu falešnému pocitu bezpečí. Kvůli nim to dělám, ne proto, že by mne tak moc bavilo věcně argumentovat v debatě s někým, kdo mne opakovaně napadá, čísla ignoruje, logiku výslovně odmítá a o názorném obrázku prostě prohlásí, že je špatně, aniž by se obtěžoval říct v čem.

Ondroid avatar 29.10.2007 18:00 Ondroid | skóre: 32 | blog: Hombre
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
LOL ! Přesně tu debatu o narážení autem do zdi jsem si při čtení téhle vybavil. Obdivuju jak někdo dokáže takhle vytrvale obhajovat neobhajitelné navzdory logice, matematice a všemu.
29.10.2007 20:46 pic | skóre: 30 | blog: Perdido_Street_Station
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
díval jsi se někdy na nedělní 13 na primě, nebo Otázky Václava Moravce?

zase tak neobvyklé to u nás není :-)
3.11.2007 15:10 Petr Mach | skóre: 9 | blog: Hláska
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Jenomže podle mě obhajuješ akorát vlastní hloupost a obhajuješ se nereálnými předpoklady. Tudíž jako myšlenkový experiment si tvrď blbosti jaké chceš, ale proboha to alespoň nezdůvodňuj jako poučení pro laiky, protože prakticky jsi úplně mimo.

Chyby kterých ses mimo jiné dopustil.

1) stavíš na nesplnitelném předpokladu, bez něj se ti argumentace rozsype

2) uvažuješ jen jeden typ útoku

3) neuvažuješ možné chyby a selhání zařízení i techniky

4) schopnost útočníka vidíš jako jednorozměrnou veličinu

To znamená, že v praxi jsi úplně mimo. V praxi platí axiom, nic není stoprocentně bezpečné a spolehlivé a nejméně lidé. Ohledně bezpečnostní politiky nemá žádný smysl se ohánět logikou, protože lidé se logicky nechovají.

To je důvod, proč se nenechávají puštěné služby, které se nepoužívají a to je i důvod, proč se pod rootem mají dělat jen nezbytně nutné věci. A ne se pod ním přihlašovat a vést celou session. To že zvedneš délku hesla o jeden znak řeší pouze útok hrubou silou, nic jiného. Dovolím si tvrdit, že to bezpečnost systému od určité síly hesla nezvyšuje, na rozdíl od kladení více bezpečnostních vrstev, což je velmi dobrá obrana proti chybám a selháním.

Jestli chceš příklad, podívej se na windows, systém, kde je běžné se přihlašovat jako root (admin). Opravdu máš pocit, že přidáním znaku do hesla 1000x (nebo kolik jsi uváděl) zvýšíš bezpečnost tohoto systému? Asi těžko, ty si totiž vůbec neuvědomuješ z důvodu omezenosti tvého pohledu veškeré důsledky. Bezpečnost je nutno posuzovat komplexně, nikoli jen z pohledu hrubého útoku na heslo. Nebo si opravdu myslíš, že je bezpečnostně nevýznamné zakázat přihlásit se do systému jako root a umožnit pod rootem dělat jenom nezbytně nutné zákroky? Chápu, pro tebe je to nepodstatné, ty si přidáš znak k heslu a žiješ pod iluzorním dojmem, jak je to (matematicky a logicky) všechno ohromně bezpečnější. Hlavně že nemusíš zadávat dvě hesla. To tě naučili u Microsoftu nebo kde?

Pamatuj si, že hlásit se do systému jako root/admin je bezpečnostní riziko a to ať se hlásíš místně nebo na dálku. I když je to pohodlnější.

Pro ostatní. Víceúrovňová ochrana významně zvyšuje bezpečnost systému, nenechte se zmást a nepodléhejte svůdnému vábení pohodlnosti. Nepracujte pod rootem když nemusíte a už vůbec se pod ním do systému nepřihlašujte. Poučte se z neblahých zkušeností uživatelů windows.
3.11.2007 15:45 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Nezbude mi, než se zapojit. Můžu vědět co je špatného na tom, mít puštěné ssh démona a přihlašovat se na něj pod rootem, když potřebuji udělat něco pod rootem? Dle mě nic.

Na ostatní věci mi stačí se přihlásit jako user. Nevidím v tom žádný problém. Proto nechápu tuhle "dle mě hloupou větu":
Nepracujte pod rootem když nemusíte a už vůbec se pod ním do systému nepřihlašujte.
Praktikuju to tak léta a pochybuju o tom, že bych něco dělal špatně.
3.11.2007 16:20 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Přihlášení jménem a heslem ale není víceúrovňové zabezpečení, je to stále jen jedna úroveň (ať je těch uživatelů třeba milión). Víc úrovní by to bylo, pokud by to byly různé způsoby zabezpečení. To máte jako rozdíl v tom, když si na dveře nainstalujete deset zámků, a nebo zámek a alarm. Pokud dokáže nějaký zloděj otevřít jeden zámek, otevře jich i deset. Pokud má ale překonat zámek i alarm, musí dokázat překonat obojí (a pro překonání zámku jsou zajisté nutné jiné postupy, než pro překonání alarmu).

Přihlášení pomocí dvou jmen tvoří dvě vrstvy pouze v případě, že by se útočník dokázal přes ssh přihlásit na první účet bez znalosti hesla (což je onen hypotetický případ, že by ssh zapomnělo ověřit heslo, který se zastáncům vrstevnatosti nelíbí, ale žádný jiný nemají; dobře, napovím další možnost – slabina v protokollu SSH2 nebo jeho implementaci. Můžete si sami odhadnout, jaká je pravděpodobnost, že takovou slabinu bude znát váš útočník a taková slabina nebude obecně známá). Můžeme si různé druhy útoků klidně vzít postupně a podívat se, kolik je proti nim postaveno vrstev při použití většího množství uživatelů, přes které je nutné se prokousat na roota:
  • útok hrubou silou – snaha uhádnout heslo: 1 vrstva, uhádnou dvě hesla délky x trvá jen dvakrát déle, než uhádnout jedno takové heslo; navíc pokud už je útočník na cílovém počítači, půjde mu louskání hesla daleko rychleji
  • útok na bezpečnostních chybu ssh démona (buffer overflow apod.) – 1 vrstva, po prolomení chyby má útočník rovnou roota (protože ssh běží pod rootem)
  • útok na chybu protokolu nebo implementace – útočník nezjistí heslo, ale podaří se mu ssh démona přesvědčit, že uživatele ověřil a ssh ho přihlásí pod daným uživatelem – 2 vrstvy; ovšem prolomením první vrstvy se vnější útočník dostal teprve na úroveň libovolného právoplatného uživatele systému, tj. druhá vrstva musí být natolik silná, aby sama ochránila systém (a to dokonce i před interními uživateli, kteří jsou nebezpečnější) Takže onou první vrstvou stavíte další zábranu pouze do jednoho směru, odkud je útok navíc velmi nepravděpodobný – opravdu vám to připadá jako dobrá investice do zabezpečení?
Jinak na servery se přihlašuji rovnou jako root, protože na serveru dělám jenom nezbytně nutné zákroky.
3.11.2007 22:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Dopouštíte se stejné chyby jako Azurit: vkládáte mi do úst něco, co jsem nikdy nenapsal, dokonce mne obviňujete z věcí, se kterými zásadně nesouhlasím, a pak mne na základě smyšlených tvrzení rozcupujete na kousky. Tvrdil jsem snad někde například, že je v pořádku dělat pod rootem věci, pro které nejsou jeho práva potřeba? Přečtěte si laskavě nejdřív mé příspěvky pořádně a pak polemizujte pouze s tím, co jsem opravdu napsal; debata v tom stylu, jaký jste právě předvedl, nemá sebemenší smysl.
6.11.2007 05:44 Petr Mach | skóre: 9 | blog: Hláska
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Ano tvrdil, akorat si to stale neuvedomujete. Prihlasovat se pod rootem neni potreba a takove chovani snizuje bezpecnost systemu. Viz. Windows. Takze jestli si myslite, ze pod rootem by se clovek nemel do systemu hlasit, pak to jasne deklarujte, protoze to vypada presne opacne. A jestli vam jde o ty laiky, jak jste psal, tak urcite nechcete, abyste vypadal jako obhajce teto praxe. Takovemu chovani je poreba rict jasne NE. Jestli jste ale obhajce prihlasovani pod rootem, pak muj predchozi prispevek byl plne opravneny a jen jste se vyhnul smysluplne odpovedi.
6.11.2007 08:16 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Jak chcete instalovat nové jádro, vytvářet nové uživatele, instalovat systémový software, měnit uživatelům práva atd. atd., když ne jako root? Takže pod rootem se člověk asi někdy přihlásit musí.
6.11.2007 15:50 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
To je s prominutím blbost. Nesrovnávejte laskavě dvě věci, které jsou úplně o něčem jiném. Je hloupost přihlašovat se jako root na takové akce, na které není oprávnění roota potřeba. A taky je hloupost pracovat ve windows jako administrátor. Srovnáváte neustálou práci ve windows pod administrátorem s občasným přihlašováním do linuxu jako root a to na takové akce, na které je oprávnění roota potřeba. Můžete mi říct jak děláte některé věci , které nelze udělat pod nikým jiným než rootem? Asi je neděláte vůbec, protože jinak je není možné udělat.

Můžete mi konkrétně na postupu, kdy se přihlásím jako root do systému přes SSH, ukázat chybu, které se podle Vás dopouštím? Docela by mě to zajímalo.
Ondroid avatar 5.11.2007 00:09 Ondroid | skóre: 32 | blog: Hombre
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
To je pořád dokola s tím hlásit se jako root do sshd. Pokud se hlásím dobře zabezpečeným kanálem je to vždy bezpečnější než když se hlásím dvakrát nebo víckrát (zřetězeně) méně bezpečným kanálem. To je prostě fakt a žádná iluze. Auto jede z Brna do Prahy 3 hodiny, pak tedy dvě auta pojedou 1,5 hodiny, když sou na to dvě. To je iluze.
5.11.2007 08:12 Ash | skóre: 53
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Tak asi každý ví, že "pokud se hlásím dobře zabezpečeným kanálem je to vždy bezpečnější než když se hlásím dvakrát nebo víckrát (zřetězeně) méně bezpečným kanálem". Ale tento případ se zde neřeší, zde se řeší případy kdy míra zabezpečení kanálu je v obou případech stejná.

Takže když z Prahy do Brna vyšlete 2 auta, o kolik je větší pravděpodobnost, že alespoň jedno do Brna opravdu dorazí, oproti možnosti, že jste vyslal jen jedno auto?
Ondroid avatar 5.11.2007 08:34 Ondroid | skóre: 32 | blog: Hombre
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Jo s autama máš pravdu, ty se měly původně někde v půlce srazit. Což je vlastně totéž jako když jedno narazí svou původní rychlostí do betonové zdi.
5.11.2007 09:04 Ash | skóre: 53
Rozbalit Rozbalit vše Re: azurIt versus Kubeček - shrnutí
Já myslím, že s ssh a rootem ještě nějaký čas vystačíme :) Ale je fakt, že kolem Vánoc už lidi budou mít jiné myšlenky, tak tam možná ještě ta auta přijdou vhod.
7.1.2009 23:16 Cecek | skóre: 5 | blog: cecil
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Co takhle udelat, ze kdo zada trikrat spatne heslo dostane ban. :D

7.1.2009 23:24 Cecek | skóre: 5 | blog: cecil
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Je to ale spatne, kdyz bude napriklad nekdo zkouset utok z tve skoly, zabanuje skolni IP a ty uz se ze skoly ten den neprihlasis, nebo to zkusi treba pres TOR, ale to by zas bylo kurevsky pomale.

7.1.2009 23:50 Cecek | skóre: 5 | blog: cecil
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Mozna by byla jeste moznost neomezit to jen na 3 pokusy. Nevim sice jak tyhle programky na hadani hesel funguji, zda otrocky zkousi kazdou moznost jak jdou po sobe pismena v abecede, nebo prvni zkousi nejaky slovnik a potom az ostatni moznosti. Co takhle dat mezi jednotlive pokusy casovy odstup, moznost zkouset z jedne IP jednou za minutu, to by mohlo utocnika na par let zdrzet, pri dostatecne silnem hesle. Jeste me napada silenost, po kazdem pokusu o prihlaseni heslo zmenit, utocnik by stale predpokladal ze to zkousi pro jedno heslo, a byla by sance ze zrovna kdyz se zkousi jedno heslo bude to druhe a naopak, pri vyberu treba z peti moznych hesel, by to uz mohlo docela dobre fungovat. Horsi spravce, musel by zkouset pet hesel, aby se mu povedlo prihlasit. :D

7.1.2009 23:27 Ripper | skóre: 30
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Zkuste se podívat na datum téhle diskuse, myslím, že tazatel a diskutující už jí ani neřeší.

7.1.2009 23:39 Cecek | skóre: 5 | blog: cecil
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Privedl me sem blog ze dnesniho dne, takze resi nekdo jiny http://www.abclinuxu.cz/blog/wire_blog/2009/1/root-ssh-a-bezpecnost-serveru

vencour avatar 7.1.2009 23:32 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Jak vytvorit uzivatele root2

Stačí používat tacacs ... server v linuxu je, klient se najde určitě taky ;-)

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.