Administrace komentářů

Myšleno tak, že pro dva identické stroje, které se liší jen v tom, že na jednom běží telnetd, zatímco na druhém sshd bude ten druhý úspěšně napaden s větší pravděpodobností?

Přesně tak. Samozřejmě se teď bavím pouze o otázce zneužití bezpečnostní díry v démonovi samotném, ne o případě, že by se ten telnet aktivně používal ke vzdálenému přihlášení.

Ale je zde opět ta možnost, že 10 hekrů jen tupě nasadí sniffer, (protože co taky na někoho kdo v dnešní době (asi) používá telnet) a bude odposlouchávat ten telnet, až se pan root někdy konečně přihlásí

Opět stejný problém jako předtím: nereagujete na to, co jsem napsal, ale na to, co si představujete, že jsem napsal. Já jsem mluvil o bezpečnosti démona jako takového, ne o zabezpečení protokolu.

a jedenáctý se tam přes ten telnet na toho roota bruteforce dostane

1. Je potřeba si konečně ujasnit, jak to s tím útokem hrubou silou je. Budu-li počítat relativně rychlý (ale snadno dostupný) stroj a náhodné heslo o délce 8 znaků nad abecedou 62 znaků, bude střední doba jeho uhodnutí hrubou silou při znalosti hashe (tedy velmi silný předpoklad) tři a půl roku pro DES (který už skoro nikdo nepoužívá), 400 let pro MD5 (nejobvyklejší) a 9478 pro Blowfish (default v mé distribuci). Jinak řečeno, pokud má root takové heslo, že má smysl se reálně zabývat možností, že jeho heslo uhodne někdo zvenku pouhým zkoušením možností, znamená to, že správce je diletant a o bezpečnosti je škoda ztrácet řeč.

2. Myslíte si, že ten, kdo bude provádět útok hrubou silou, se bude obtěžovat s ověřováním veřejného klíče serveru? A podle čeho vlastně? Že vám nejdřív slušně napíše "Chtěl bych se lámat na váš server, můžete mi, prosím, poslat jeho veřejný klíč?" Asi ne… Pak je sice pořád výrazně těžší sledovat SSH komunikaci než telnet, ale v principu komunikaci útočníka se serverem musíte považovat za nechráněnou.