abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 10:50 | Zajímavý software

Mozilla.cz informuje o dvou nových experimentálních funkcích v programu Firefox Test Pilot (zprávička). Snooze Tabs slouží k odkládání panelů na později. Pokud vám někdo pošle odkaz, ale vy nemáte čas si stránku hned přečíst, můžete si naplánovat otevření panelu na později. Stačí kliknout na tlačítko a vybrat, kdy chcete panel otevřít. Firefox panel schová a ve vybraný čas znovu otevře. Pulse umožňuje ohodnotit, jak dobře stránka funguje, např. jak rychle se ve Firefoxu načetla. Podle nasbíraných hodnocení pak bude Mozilla prohlížeč ladit.

Ladislav Hagara | Komentářů: 1
dnes 02:00 | IT novinky

V Barceloně probíhá veletrh Mobile World Congress 2017. Nokia na něm například představila (360° video na YouTube) novou Nokii 3310 (YouTube). BlackBerry představilo BlackBerry KEYone (YouTube) s QWERTY klávesnicí. LG představilo LG G6 (YouTube). Huawei HUAWEI P10 a P10 Plus. Samsung představil tablet Galaxy Tab S3.

Ladislav Hagara | Komentářů: 0
včera 14:00 | Nová verze

Komunita kolem Linuxu From Scratch (LFS) vydala Linux Linux From Scratch 8.0 a Linux From Scratch 8.0 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází především s Glibc 2.25 a GCC 6.3.0. Současně bylo oznámeno vydání verze 8.0 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

Ladislav Hagara | Komentářů: 0
včera 11:11 | Nová verze

Byla vydána verze 0.10.0 webového prohlížeče qutebrowser (Wikipedie). Přehled novinek v příspěvku na blogu. Vývojáři qutebrowseru kladou důraz na ovladatelnost pomocí klávesnice a minimální GUI. Inspirovali se prohlížečem dwb a rozšířeními pro Firefox Vimperator a Pentadactyl. Prohlížeč qutebrowser je naprogramován v Pythonu a využívá PyQt5. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU GPL 3.

Ladislav Hagara | Komentářů: 17
25.2. 16:22 | Nová verze

Po pěti měsících od vydání Waylandu a Westonu 1.12.0 oznámil Bryce Harrington (Samsung) vydání Waylandu 1.13.0 a Westonu 2.0.0.

Ladislav Hagara | Komentářů: 3
24.2. 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
24.2. 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 56
23.2. 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 41
23.2. 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 15
23.2. 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 724 hlasů
 Komentářů: 68, poslední dnes 07:29
    Rozcestník

    Dotaz: Bezpečnsť SSH -> heslo vs. kľúč

    12.11.2014 14:10 Peter
    Bezpečnsť SSH -> heslo vs. kľúč
    Přečteno: 548×
    Dobrý deň vám prajem.

    Vopred podotýkam, že táto otázka má výlučne akademický charakter a sám osobne používam na SSH kľúče.

    Hádam sa s kolegom o bezpečnosti používania hesiel voči kľúčom. On tvrdí, že používať kľúče je oveľa bezpečnejšie ako heslá a ja tvrdím, že je to úplne rovnaké (samozrejme za určitých podmienok). On svoje tvrdenie podložiť nevie, moje tvrdenie je založené na nasledovnom:

    Samozrejme vopred predpokladám, že idem porovnávať silné heslo a nie heslo typu nbusr123. Čiže napríklad povedzme nejaké 30 písmenkové heslo, samozrejme náhodne vygenerované (povedzme pwgen -s 30). Bruteforce útok na SSH je podľa mňa pri tomto hesle nemyslitelný. Takisto ani keby útočník získal shadow to necrackne (a to nehovorím o tom, že keby útočník mal možnosť získať shadow, tak je to už aj tak jedno, lebo je vlastne v systéme a môže si robiť čo chce).

    Na druhej strane keby útočník napadol môj pc je tiež úplne jedno či jeho keyloger "zistí" heslo alebo stiahne súbor kľúča. Dokonca by som povedal, že pri kľúči to je jednoduchšie, lebo pri ňom nemusí čakať kým sa používateľ bude chcieť pripojiť. Samozrejme ak je kľúč zaheslovaný tak je to to isté ako pri samotnom hesle - počká na vstup používateľa.

    Samozrejme si teraz odmyslime hardwarové kľúče typu yubikey (tu je to jasné, že bezpečnosť je na úplne inej úrovni) a takisto si odmyslime to, že útočník má možnosť použiť len hardwarový keyloger čo mu logicky nezabezpečí prístup k súboru kľúča. Jeden známy napríklad používa heslár (KeePassX) a heslá pri prihlásení kopíruje a vkladá cez schránku čo tiež eliminuje možnosť odchytenia cez keyloger.

    Preto moja otázka - existuje nejaký prípad, model útoku, ... pri ktorom by používanie kľúčov oproti heslám bolo bezpečnejšie? A vážne predpokladajme, že používateľ nie je BFU a vie čo robí, čiže silné heslo, nekopíruje si ho kdekoľvek bez ochrany (napríklad spomínaný KeePassX), ...

    Odpovědi

    12.11.2014 14:37 VM
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    2048+bitový RSA klíč je přece jen delší než 30písmenné heslo. Není omezen na znaky zadatelné na klávesnici, ani není nutné si jej pamatovat. Takže ano, je bezpečnější pro případ síťového odposlechu. Navíc mám podezření, zda heslo poslané po síti nelze v případě napadené protistrany ukrást (a pak zkoušet zda se nepoužívá i na jiných systémech), zatímco soukromý klíč se nikam nijak neposílá.

    Ano, v případě napadení uživatelova systému jsou kompromitovány obě metody.
    12.11.2014 15:35 pavele
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Pokud používáš přihlašování pomocí hesla, je možné provést "man in the middle attack".

    Pokud používáš přihlašování pomocí hesla, je možné provést "brute-force attack".

    Pokud používáš přihlašování pomocí hesla, je možné se podívat do .bash_history, jestli tam heslo "neuvízlo" při občasném chybném zadávání hesla.

    Pokud používáš přihlašování pomocí klíče s heslem, jedná se vlastně o dvoufaktorovou autentizaci - k přihlášení potřebuješ klíč + heslo. Takže když ztratíš flashdisk s klíčem, je to nepříjemné, když ztratíš flashdisk s heslem, je to na mašli. :-)

    Pokud používáš přihlašování pomocí klíče bez hesla - například kvůli pravidelnému zálohování, je možné omezit použití pouze na spuštění zálohování. Na serveru, kde chceš spustit zálohování, budeš mít například klíč:

    command="/opt/unisonzaloha",no-port-forwarding,no-agent-forwarding,no-pty ssh-rsa xxxxxxklíčxxxxx

    12.11.2014 16:12 Peter
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč

    Pokud používáš přihlašování pomocí hesla, je možné provést "man in the middle attack".
    Predpokladal som skúseného používateľa, to znamená, že ak ssh klient zahlási, že sa niečo zmenilo tak sakra spozorniem. Podľa mňa jediná možnosť je keď sa z daného stroja prihlasujem prvykrát a nepozerám na fingerprint

    Pokud používáš přihlašování pomocí hesla, je možné provést "brute-force attack".
    Na silné heslo? Ako?

    Pokud používáš přihlašování pomocí hesla, je možné se podívat do .bash_history, jestli tam heslo "neuvízlo" při občasném chybném zadávání hesla.
    Môže byť, ale myslím, že keď sa mi vie niekto pozrieť do .bash_history, tak má môj kľúč aj z jeho heslom

    Pokud používáš přihlašování pomocí klíče s heslem, jedná se vlastně o dvoufaktorovou autentizaci - k přihlášení potřebuješ klíč + heslo. Takže když ztratíš flashdisk s klíčem, je to nepříjemné, když ztratíš flashdisk s heslem, je to na mašli.
    Jedine za predpokladu, že flash disk nemám šifrovaný čo pri mne nehrozí. Tam kde sa dajú používať kľúče tam ich používam, kde ide dvojfaktorova autentizácia, tak tú mám tiež a na zvyšok je KeePassX

    Pokud používáš přihlašování pomocí klíče bez hesla - například kvůli pravidelnému zálohování, je možné omezit použití pouze na spuštění zálohování. Na serveru, kde chceš spustit zálohování, budeš mít například klíč:
    Toto mi je úplne jasné, veď tak to aj používam.

    Mne sú jasné výhody kľúča, ale mňa zaujíma akademická debata, že aké má útočník možnosti navyše pri hesle oproti kľúču. Zatiaľ akceptujem MITM, lebo nepoznám paranoika, ktorý kontroluje fingerprint pri prvom prihlásení na novom systéme, ale je to ošetritelné tým, že budem ten fingerprint kontrolovať a takisto ukradnutie hesla na napadnutom systéme a skúšanie či sa nepoužíva aj inde čo je tiež ošetritelné veľmi jednoducho. Budem rád ak bude táto debata pokračovať ďalej, lebo rád by som vedieť všetky - podotýkam reálne - slabiny hesla oproti kľúču. Veľmi pekne ďakujem.

    Max avatar 12.11.2014 16:41 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Setkal jsem se systémem, kde měl admin zálohu několika skriptů v /root a tu zálohu měl v "ro" pro všechny. Klasický bash_history nešel přečíst, ale byl i v záloze. V historii pak bylo root heslo k mysql, které bylo shodné s heslem roota do systému.
    Od té doby si všude vypínám ukládání "bash_history" do souboru a používám tedy jen aktuální historii v ramce.
    Zdar Max
    Měl jsem sen ... :(
    12.11.2014 17:30 Peter
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Úsmevné - takáto blbosť by ma ani nenapadla. Mimochodom keď už sme pritom - bash_history stále za sebou mažem, ako sa dá vypnúť úplne? chattr +i alebo je na to normálnejšia metóda?
    12.11.2014 17:36 Chulda | skóre: 19
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    man bash

    If HISTFILE is unset, or if the history file is unwritable, the history is not saved.
    Max avatar 12.11.2014 19:36 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    HISTFILE="/dev/null"
    MYSQL_HISTFILE="/dev/null"
    
    Zdar Max
    Měl jsem sen ... :(
    12.11.2014 18:37 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Sám si na několika serverech zálohuji vše, včetně všech dat uživatelů pokud nejsou „v adresáři k nezálohování“. Jako ochrana, jsou zálohy šifrované, ale /root daného stroje heslo k záloze obsahuje + na šifrované zařízení, ale to je vše. Jinak je to klasika, k informacím je často nejsnazší se dostat přes zálohy.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    12.11.2014 16:43 Filip Jirsák
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Pokud používáš přihlašování pomocí hesla, je možné provést "brute-force attack".
    Na silné heslo? Ako?
    Pořád je ten klíč podstatně delší než heslo. Dostatečně silné heslo samozřejmě stejně nebude prolomitelné útokem zkoušejícím jedno heslo za druhým. Ale co když útočník dokáže nějakým způsobem získat pár bitů informací o vašem hesle? Snad všechny útoky na moderní kryptografické algoritmy jsou založené na tom, že se podaří délku klíče jakoby zkrátit – a na kratším klíči už se pak provede útok hrubou silou. Tj. i to, že máte na délce klíče nějakou rezervu, je výhoda.
    Max avatar 12.11.2014 15:46 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Admin by měl být paranoidní ;-).
    Zdar Max
    Měl jsem sen ... :(
    12.11.2014 16:18 Peter
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    To mi je jasné - to je základ "kľudného" spánku - vlastne ako by som to - poznáš kľudného admina?
    paul2no avatar 12.11.2014 16:10 paul2no | skóre: 10 | blog: Paulovo doupě | Praha
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Není klíč bezpečnější už jen proto, protože narozdíl od hesla při přihlašováno nikdy neopustí klientský systém, a tudíž nejde ani teoreticky odposlechmout?
    Pravda, láska a elektrická trakce zvítězí nad lží, nenávistí a trakcí motorovou.
    12.11.2014 16:17 Peter
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    To samozrejme ano - plne súhlasím, ale pozrime sa na to reálne:

    Do SSL spojenia mi nikto nevstúpi, lebo je to šifrované, čiže nič neodpočuje. A ak by bolo šifrovanie prelomené, tak si myslím, že je jedno či odpočuje heslo alebo mi vstúpi do sedenia a urobí čo potrebuje. Na druhej strane ak napadne server kde je heslo posielané, tak mu je možnosť odpočuť heslo už ukradnutá, veď už na tom systéme je.

    Veľmi pekne ďakujem za zaujímavé typy.
    12.11.2014 16:54 Filip Jirsák
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Po HeartBleed a Poodle by každému, kdo to myslí s bezpečností alespoň trochu vážně, mělo být jasné, že „SSL je šifrované, takže z něj nikdo nic nepřečte“ je neplatný předpoklad. Je potřeba mít spojení správně nakonfigurované (aby se použil alespoň protokol, který má nejméně známých bezpečnostních chyb), musí to být správně implementované. Zrovna v případě HeartBleed je rozdíl mezi heslem a klíčem rozdíl v tom, zda by útočník měl možnost získat váš účet nebo ne (pokud by taková chyba byla ve vašem SSH serveru). V případě Poodle by zase útočník možná mohl získat alespoň část hesla, takže z útoku hrubou silou na dostatečně silné heslo by se mohl stát útok hrubou silou na příliš krátký zbytek dostatečně silného hesla.
    12.11.2014 17:27 Peter
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Nooo - toto je veľmi rozumný názor. Len sa pýtam - pri HeartBleed, aký je rozdiel: odchytím heslo, neodchytím kľúč a vstúpim priamo do sedenia? A ako je to s tym Poodle a časťou hesla?

    Veľmi pekne ďakujem.
    12.11.2014 17:59 Semo | skóre: 44 | blog: Semo
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    "vstupim do sedenia" - to musi byt velmi zaujimavy druh pohybu. Slovencina je krasna.
    If you hold a Unix shell up to your ear, you can you hear the C.
    12.11.2014 18:58 Filip Jirsák
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Při HeartBleed bylo možné přečíst část paměti serveru, kde mohlo být zrovna heslo uložené. To je vše, nabourat se přímo do komunikace nebylo možné. Poodle umožňoval opakovaným zasíláním velmi podobných požadavků (sestavených útočníkem) dešifrovat malou část komunikace. Je znám popis útoku pro HTTPS, kde útočník může sestavit požadavek, jaký potřebuje (může volit např. název a obsah cookies, čímž ovlivní jak délku požadavku, tak může požadavek postupně po jednom bitu měnit), a díky JavaScriptu v prohlížeči může útočník ty požadavky relativně snadno vygenerovat v kontextu uživatele, na kterého útočí. Donutit někoho, aby podobným způsobem poslal desítky specifických požadavků přes SSH je mnohem těžší - ale netvrdil bych, že je to nemožné.
    Jendа avatar 12.11.2014 20:25 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Implementovat s HeartBleedem vstoupení do sezení není úplně triviální, nejspíš by to i vyžadovalo MITM.
    Vox agroferti, vox Dei.
    Jendа avatar 12.11.2014 20:24 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Zrovna v případě HeartBleed je rozdíl mezi heslem a klíčem rozdíl v tom, zda by útočník měl možnost získat váš účet nebo ne (pokud by taková chyba byla ve vašem SSH serveru). V případě Poodle by zase útočník možná mohl získat alespoň část hesla, takže z útoku hrubou silou na dostatečně silné heslo by se mohl stát útok hrubou silou na příliš krátký zbytek dostatečně silného hesla.
    Na druhou stranu zase v případě debianího generátoru klíčů bylo lepší heslo.
    Vox agroferti, vox Dei.
    13.11.2014 08:16 Filip Jirsák
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    To je pravda, nicméně je snazší napsat bezchybný generátor klíčů než bezchybný SSH server. Takže statisticky bude víc chyb, kde bude lepší mít klíč, než těch, kde bude bezpečnější heslo.
    12.11.2014 18:12 Robot
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Za předpokladu, že je přihlašování klíčem bezpečnější/lepší, jaký jsou bezpečný praktiky skladování?
    12.11.2014 19:05 Fenry
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Něco takového?

    SmartCard
    Jendа avatar 12.11.2014 20:12 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Hlavní problém je v tom, že se musíš ke každému počítači hlásit jiným heslem. A dobře si kontrolovat, co je to za stroj (vazbou fingerprint:ipadresa), abys heslo náhodou neposlal někam jinam.
    hardwarové kľúče typu yubikey (tu je to jasné, že bezpečnosť je na úplne inej úrovni)
    Povídej, přeháněj. Zatím v případě, že uživatel, který spustil můj software pro distribuované výpočty, používá yubikey, prostě jenom počkám, až se na vzdálený server přihlásí, k SSH se připojím přes gdb a příkazy na vzdálený stroj pošlu tak.
    Vox agroferti, vox Dei.
    12.11.2014 21:29 pavele
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    To asi ne, aspoň v případě OpenSSH 2 v okamžiku narušení/vkládání příkazů "man in the middle" dojde k okamžitému ukončení relace.
    Jendа avatar 12.11.2014 21:37 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnsť SSH -> heslo vs. kľúč
    Server to nemá jak poznat a klient je kompromitovaný. V podstatě mu stačí na chvilku ukrást stdin a něco tam napajpovat (předtím je teda potřeba zajistit, že je zrovna uživatel třeba v shellu, a ne v nějaké aplikaci). Nebo si nechat vyrobit další kanál a dělat si co chci.
    Vox agroferti, vox Dei.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.