Co si myslet o autorech OpenELEC?

[Petr M]

Tak mě nějak štvalo OSMC, tak jsem na RPi zkusil hodit OpenELEC. Tak nějak beru administraci po SSH jako samozřejmost, třeba namontování NASu se nejlíp dělá edistací FSTAB a ne klikáním, že.

Tak povolím SSH, zjistím, že default heslo je "openelec". Dostanu se na konzolu, a jak jsem zvyklý, hned passwd. Vyskočilo tohle:

Kód: [Vybrat]

OpenELEC:~ # passwd

 There is no working 'passwd'.

 The 'passwd' command changes passwords for user accounts.

 With OpenELEC it is not possible to change the system password

 SSH is included only as a last support resort. SSH is off by default.
 Most users never need SSH and need help using it so we need a default
 password. If you need to keep SSH always on then this is unsupported
 but can be secured with certificates.

 TIP: disable password authentication in ssh and use public key authentication.
Mám si o autorech openelecu myslet, že jsou jenom blbí, nebo je podezírat ze sabotáže a hned se toho zbavit?

Tohle bych možná pochopil u Tendy nebo ZyXELu, ale u opensource projektu na linuxu... 

[Reklama]

[Lotr]

Chlape, ty jsi mimo. Autoři nechtějí supportovat ssh-server, což je u distribuce na sledování tv zcela pochopitelné, tak ho nesupportují. Je to vypnuté, tudíž nevznikla bezpečnostní díra. Když už se nějaký koumák, který není schopen použít certifikáty navíc začne hrabat do systému, ještě mu slušně vysvětlí, proč tam není nějaký tool. A ten trouba se přijde vybrečet na root, že ho omezují a že se cítí podveen. To jsem ještě neviděl...

[nobody(ten pravej)]

Kód: [Vybrat]

[quote author=Petr M link=topic=17061.msg240010#msg240010 date=1513503602]
 TIP: disable password authentication in ssh and use public key authentication.
Mám si o autorech openelecu myslet, že jsou jenom blbí, nebo je podezírat ze sabotáže a hned se toho zbavit?
[/quote]
zkus se sam nechovat jako blbec, doporucujou ti vypnout v ssh prihlaseni heslem a pouzivat prihlaseni klicem, coz je naprosto bezpecne a seriozni doporuceni...

[Petr M]

zkus se sam nechovat jako blbec, doporucujou ti vypnout v ssh prihlaseni heslem a pouzivat prihlaseni klicem, coz je naprosto bezpecne a seriozni doporuceni...

1) Heslo roota není záležitost SSH, to je záležitost systému. Nemožnost změnit jakýkoliv heslo k systému je čuňárna z jakýhokoliv úhlu pohledu. Že to heslo nemusím potřebovat je jiná věc.
2) SSH je tam jako legitimní nástroj, i SSH samotný, i přihlašování pomocí hesla, jde v GUI ovládat checkboxem. K těm volbám se dá normálně dostat v nastavení přes GUI, může je přepnout kdokoliv, kdo k tomu má přístup.
3) Tyto volby jsou dost skrytý na to, aby si změny člověk hned nevšil, když je změní třeba návštěva.
4) Pokud to někdo zapne, má přístup jako root s všeobecně známým heslem. Možnost změnit heslo z konzoly by sice spusil SSH server, ale bez toho, že by se dokázal přihlásit heslem.
5) Vysekat něco, co je v systému by default kvůli oslabení bezpečnosti je to samý, jako si dát práci s odmontováním bezpečnostního zámku dodanýho s dveřma. Navíc jenom kvůli tomu, že je byt v posledním patře a nikdo tem nechodí...
6) Na telce sice nic moc zničit nemůžou, ale můžou tak získat přístup na NAS k soukromým datům.
7) Vystavit roota na SSH je mimochodem taky docela mazec.

Prostě bezpečnost na úrovni W98...

A jenom tak mimochodem, konkurenční OSMC nedovolí přihlášení roota vůbec a místo toho se dá vzdáleně přistupovat přes uživatele OSMC zapsanýho v sudoers s normální možností správy... Proto mě ta bota docela překvapila.

[gnat]

Heslo roota na OpenElecu, pokud si dobře pamatuji, změnit šlo. Jen to nezvádl každý BFU, protože /etc/shadow je na squasfs.

[Reklama]

[greger]

Tak nějak beru administraci po SSH jako samozřejmost

Je vidět, že jsou i lidi co maji jiný názor.

[Tomas2]

openelec zakládá bezpečnost právě na readonly FS. Pokud se ti už někdo dostane do administrace a změní nastavení, je v podstatě jedno, jestli tím nastavením je zapnutí ssh nebo přidání dalšího uživatele či jiná činnost.

Jak píše gnat, upravit si ty FS vrstvy můžeš sám, není to tak velká věda, dokonce jde přidat i vlastní, která řadu věcí přepíše.

[Petr M]

openelec zakládá bezpečnost právě na readonly FS.

Read only FS není zabezpečení. Třeba Hacking Team by mohl vyprávět, co znamená, když si jejich data někdo jenom přečte a zveřejní. Nebo T-Mobile s jejich bývalým zaměstnancem, co sice nic v systému nezměnil, ale měl kopie osobních údajů. A stovky dalších. Prostě každý, kdo si myslí, že read-only data jsou zabezpečený by potřeboval, aby mu někdo základy bezpečnosti narval do palice kolenem skrz genitálie. Několikrát, na první pokus by to nepochopil. Na to nemá mentální kapacitu.

Pokud se ti už někdo dostane do administrace a změní nastavení, je v podstatě jedno, jestli tím nastavením je zapnutí ssh nebo přidání dalšího uživatele či jiná činnost.

Právě proto nesmí být jediný uživatel systému root a GUI musí být pod jiným uživatelem. Bez pardonu. Jak u OSMC, uživatel je "osmc", heslo "osmc", ale není problém ho změnit.

A když už ne zadání root hesla při instalaci, tak změna po přihlášení musí být samozřejmost. Root s pevným veřejně známým heslem je z pohledu bezpečnosti jak šplh na 300m vysokou skálu bez jištění. Pokud má dělat takový akce, jako povolení vzdáené administrace nebo přidání účtu, tak přes sudo a heslo. Nástroje na to v Linuxu jsou.

Jak píše gnat, upravit si ty FS vrstvy můžeš sám, není to tak velká věda, dokonce jde přidat i vlastní, která řadu věcí přepíše.

Můžu, ale tady jde o princip.  Kolem baráku můžu taky postavit betonový, 5m vysoký hradby, na ně ostnatý drát a na zahradu smečku asociálních pitbulů proto, že v místním kovomatu prodávají jenom dozický zámek.

Bezpečnost je kompromis mezi náklady a přínosem. Příkaz passwd  pro roota je prakticky zadarmo (půl minuta i s vygenerováním hesla v keepasu) a zalepím tím možnost kohokoliv zapnout ssh. Kolik času je potřeba ke komplet překopání instalace a jaký bonus přinese navíc?

Pro heslo k roototvi, zveřejněný na webu a bez jednoduché možnosti jeho změny není omluva.

[Filip Jirsák]

Pokud mají autoři OpenELEC o bezpečnosti jiné představy, než vy, mohla by to být docela dobře zabezpečená distribuce. Protože vy tady zatím neomylně jmenujete povrchní věci, které mohou budit zdání bezpečnosti, ale se skutečnou bezpečností nemají moc společného.

Pokud chcete používat SSH, použijte bezpečnější způsob přihlášení, a to přihlášení klíčem. Máte to tam napsané. Pokud si někdo zapne SSH, asi ho chce používat. Pokud ho chce používat, bude muset zjistit, že je tam přednastavené defaultní heslo. Když to zjistí a bude ho chtít změnit, dozví se, co má dělat. Pokud bude někdo postupovat vaším způsobem, zapne si SSH, nechá tam výchozí heslo a nezakáže přihlášení heslem přes SSH, je to jeho chyba, nikoho jiného. Ano, bylo by pohodlnější zakázat přihlášení heslem rovnou a umožnit přes administraci nahrát klíč, ale to je jen věc pohodlí, ne bezpečnosti.

Pokud je /etc/shadow na read-only souborovém systému, je podstatně rozumnější vypsat při spuštění passwd chybovou hlášku s návodem, než jenom skončit s chybou, že nelze zapisovat do souboru jen pro čtení.

Vystavit roota na SSH není žádný mazec, je to normální. Pokud to zařízení nemá víc správců, což zařízení s OpenELEC asi nebude mít, není žádný důvod, proč se nepřihlašovat rovnou na roota.

Existují zabezpečení proti různým druhům útoků. Vy píšete o úniku dat, ale o tom vůbec nebyla řeč. Read-only systém může být způsob zabezpečení proti trvalému ovládnutí zařízení. Pokud zařízení nastartuje vždy v továrním nastavení, útočník nemůže zařízení trvale ovládnout.

Root s pevným a veřejně známým heslem nemusí být z pohledu bezpečnosti žádný problém, pokud není možné se heslem přihlásit. Ono je možné se do Linuxu přihlásit jako root i úplně bez hesla nebo jakéhokoli jiného ověření – a taky to není bezpečnostní problém, protože se takhle může přihlásit jenom někdo, kdo sedí u konzole při startu systému.

sudo je v systému, který má jediného správce, nesmysl. A sudo obecně s bezpečností nejde moc dohromady, protože se to před uživateli pokouší skrývat komplexitu bezpečnosti, kterou ale skrýt nejde.

Omluva spíš není pro to, když někdo mermomocí chce SSH v systému, ale neumí si ho nakonfigurovat bezpečně, aby bylo povolené přihlášení jenom klíčem.

[gnat]

To heslo se při instalaci nezadává proto, že cílový systém obvykle neobsahuje klávesnici. Openelec se dá "nainstalovat" jen zasunutím karty s image a spuštěním. Dále pak stačí už jen ovladač a naštěstí se nic co 99% uživatelů nepotřebuje, vyplňovat nemusí. A z toho 1% co to opravdu potřebují si 90% procent nahraje klíč. A kvůli 1 z tisíce co si potřebuje heslo zadat při instalaci, se komplikovat instalace ostatním nebude. Kdo chce děla něco v shelu, měl by být schopen pustit script na změnu hesla (těch se po netu povaluje několik). Forkovat a hackovat std. passwd příkaz pro změnu na ro fiesystému, jen protože je někdo tak zvyklý, je nesmyslné plýtvání zdroji.

Jedinné co je podle mě špatně je, že je OpenSSH v základu nainstalováno a není k dispozici jen jako doplněk na vyžádání.