SFTP vs FTP bezpečnost

Re:SFTP vs FTP bezpečnost
« Odpověď #15 kdy: 21. 04. 2019, 09:24:44 »
ktere je napul teorie a napul demagogie … pise hloupost/lez
Můžete být konkrétní, co z toho, co jsem napsal v této diskusi, je napůl teorie a napůl demagogie nebo hloupost/lež?


Vilith

  • *****
  • 662
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #16 kdy: 21. 04. 2019, 09:28:04 »
Můžete být konkrétní, co z toho, co jsem napsal v této diskusi, je napůl teorie a napůl demagogie nebo hloupost/lež?

Treba mi zkus vysvetlit, proc je fail2ban spatny - bylo by to primosnejsi, nez mne neustale napadat za jeho doporuceni

Re:SFTP vs FTP bezpečnost
« Odpověď #17 kdy: 21. 04. 2019, 10:33:53 »
Dovolím si odpovědět za pana Jirsáka. Otázka zní spíš opačně, k čemu je fail2ban dobrý? Pokud má zabránit prolomení hesla pomocí brute force, tak správné řešení je neumožnit to vůbec a umožnit přihlašování pouze pomocí klíčů. Pokud je nezbytně nutné někomu povolit přihlášení heslem, tak jedině z nějaké dané IP adresy. A nebo taky máme VPN. Takže existují správná řešení a potom existují špatná řešení, která se pořád někdo snaží pomocí různých nástrojů (pracovně jim říkám rovnák na vohejbák) učinit použitelnými.

Re:SFTP vs FTP bezpečnost
« Odpověď #18 kdy: 21. 04. 2019, 10:34:49 »
FTP je super lightweight, SFTP (powered by SSH subsystem) bude pomalejsi
Tazatel mluví o "vystrčení portu do Internetu", takže podle všeho řeší přístup přes Internet. Opravdu si myslíte, že má tak rychlé připojení na Internet a tak pomalý procesor, aby ssh protokol způsobil viditelné zpomalení?

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #19 kdy: 21. 04. 2019, 11:02:10 »
Dovolím si odpovědět za pana Jirsáka. Otázka zní spíš opačně, k čemu je fail2ban dobrý? Pokud má zabránit prolomení hesla pomocí brute force, tak správné řešení je neumožnit to vůbec a umožnit přihlašování pouze pomocí klíčů. Pokud je nezbytně nutné někomu povolit přihlášení heslem, tak jedině z nějaké dané IP adresy. A nebo taky máme VPN. Takže existují správná řešení a potom existují špatná řešení, která se pořád někdo snaží pomocí různých nástrojů (pracovně jim říkám rovnák na vohejbák) učinit použitelnými.

Dekuji za vysvetleni - priste jiz fail2ban nebudu pouzivat, a vse necham na ssh daemonovi, aby odmital pokusy o prihlaseni. Pochopil jsme to spravne?

A co treba FTP, IMAP, POP3, SMTPauth? Jak tam?


Re:SFTP vs FTP bezpečnost
« Odpověď #20 kdy: 21. 04. 2019, 11:27:46 »
Dekuji za vysvetleni - priste jiz fail2ban nebudu pouzivat, a vse necham na ssh daemonovi, aby odmital pokusy o prihlaseni. Pochopil jsme to spravne?
Ano.

A co treba FTP, IMAP, POP3, SMTPauth? Jak tam?
Především nepoužívat nešifrované protokoly. O náhradě FTP bylo původně tohle téma, Mlho. Pro přístup k poštovní schránce použít IMAPS nebo přinejhorším POP3S. Pro předání e-mailů k odeslání poštovnímu serveru použít SubmissionS (dříve nazývané SMTPS).

Ve všech případech je potřeba používat silná hesla. Pokud si nemůžete být jist tím, že uživatelé používají dostatečně silná hesla, a nemáte páky k tomu to napravit, můžete použít mechanismy vestavěné v daném softwaru. Třeba Dovecot (pro IMAPS, POP3S a SubmissionS) umí používat autentizační politiky, pomocí kterých si můžete nastavit jaká pravidla chcete. Pořád se to ale aplikuje v rámci té jedné aplikace, která rozumí daným protokolům a jejich workflow, zná existující uživatele a nezávisí to na parsování nestrukturovaných logů a provádění kódu pod právy roota.

Re:SFTP vs FTP bezpečnost
« Odpověď #21 kdy: 21. 04. 2019, 11:42:01 »
Vy jste demagog. Bavíme se o bezpečnosti SFTP a Vy namícháte koktejl všech možných protokolů, abyste dosáhl aspoň částečného úspěchu. Takže zpět k tématu této diskuze. Pokud se bavíme o bezpečnosti, což je téma diskuze, tak je bezpečné řešení použít klíče. Pokud se budeme bavit o DDoS, pak je to naprosto jiné téma.

P.S.: Na kdyby se nehraje, ale kdyby všichni používali zabezpečenou komunikaci, pak by se boti o nic nepokoušeli, protože by bylo jasné, že nemají šanci na úspěch. Ale místo toho se tady budou pořád tlačit řešení typu fail2ban, blacklsit, greylist, Captcha, ..., na která nakonec dojíždí legitimní uživatel.

ZAJDAN

  • *****
  • 2 088
    • Zobrazit profil
    • E-mail
Re:SFTP vs FTP bezpečnost
« Odpověď #22 kdy: 21. 04. 2019, 12:07:34 »
mě se osvědčilo pro SFTP:
- uživateli nastavit shell scponly (nemůže pak získat terminál)
- nastavit na něm v nastavení SSH jail/chroot a uvěznit ho tak (nemůže pak procházet adresáře kde by neměl vidět)
- nasadit fail2ban ( a klidně to nechat jen na heslo)
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:SFTP vs FTP bezpečnost
« Odpověď #23 kdy: 21. 04. 2019, 12:19:14 »
- nasadit fail2ban ( a klidně to nechat jen na heslo)
Přiznám se, že tohle fakt nechápu. Přihlášení klíčem je bezpečnější a podle mne i výrazně pohodlnější. Z hlediska konfigurace sshd je konfigurace přihlášení klíčem minimálně stejně snadná, jako konfigurace přihlášení heslem (takže nechápu to „nechat jen“ – jako kdyby to bylo snazší). A pak si to ještě komplikujete instalací a konfigurací fail2ban, který navíc zvyšuje riziko DoS a bezpečnostní rizika (vstup, který má pod kontrolou útočník, spolu s prováděním bezpečnostně citlivých akcí).

Stručně řečeno – vám to dá víc práce a pro uživatele je to méně komfortní. Přehlížím něco?

k3dAR

  • *****
  • 3 096
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:SFTP vs FTP bezpečnost
« Odpověď #24 kdy: 21. 04. 2019, 18:19:08 »
[...] SFTP [...] a klidně to nechat jen na heslo
nezavisle na cemkoliv, pro SSH/SFTP misto "nechat jen na heslo" => "nechat jen na klic"
teoreticky by bylo mozne mit "i na heslo", pokud by slo o lokalni sit (kde ale stejne hrozi utok zevnitr (i pro remote utocniky pres lokal sw))
a heslo mit ~15-20 znaku kombinaci male/velke/cisla/znaky, stale je ale vhodnejsi mit toto jako passhrase pro ssh klic a heslo mit pro ssh/sftp zakazene...

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #25 kdy: 21. 04. 2019, 20:34:02 »
Nejsem uplnej deb.., pokud napisu IMAP, POP3, SMTPAuth tak predpokladam jejich sifrovane verze. Priste budu psat presneji, aby nedochazelo ke spatnemu vykladu

Prestanu pouzivat fail2ban, ktery neuspesne pokusy o prihlaseni po nekolika, pokusech "zarizne" na urovni iptables, ale nebudu to resit a pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje

  • Treba 1000 pokusu o neuspesne prihlaseni z jedne konkretni IP v definovanem casovem intervalu je OK, demon to prece vyresi a nic to nestoji
  • "Zariznout" IP po nekolika malo neuspesnych pokusech o prihlaseni a demona tim neobtezovat je spatne

Clovek se stale uci, dekuji

Re:SFTP vs FTP bezpečnost
« Odpověď #26 kdy: 22. 04. 2019, 20:20:34 »
FTP je super lightweight, SFTP (powered by SSH subsystem) bude pomalejsi
Tazatel mluví o "vystrčení portu do Internetu", takže podle všeho řeší přístup přes Internet. Opravdu si myslíte, že má tak rychlé připojení na Internet a tak pomalý procesor, aby ssh protokol způsobil viditelné zpomalení?

Prave ze ano, na lokalni siti jsou nizke latence, kdy SSH bude fachat temer naplno nekam do pul cca gigabitu, ale na internetove lince s vetsi latenci se SSH dostava do problemu, ktere HPN resi.

Re:SFTP vs FTP bezpečnost
« Odpověď #27 kdy: 23. 04. 2019, 08:33:08 »
Citace
... pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje

Nebudete kontrolovat, protože budete mít přihlašování klíčem.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #28 kdy: 23. 04. 2019, 08:36:46 »
Citace
... pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje

Nebudete kontrolovat, protože budete mít přihlašování klíčem.

Aha, to jsem nevedel, ze pri kazdem zahajeni prihlasovaci sekvence demon 'nestartuje'. Ze pro klice se to chova jinak

Re:SFTP vs FTP bezpečnost
« Odpověď #29 kdy: 23. 04. 2019, 09:22:00 »
Aha, to jsem nevedel, ze pri kazdem zahajeni prihlasovaci sekvence demon 'nestartuje'.
Jako démon (daemon) se v unixovém světě označují procesy běžící trvale na pozadí. Takže démon se opravdu nestartuje při každém zahájení přihlašovací sekvence, nýbrž běží celou dobu na pozadí. Obvykle se spustí během startu systému.

Ze pro klice se to chova jinak
Ono se to nechová jinak. Psal jste, že démon bude démon kontrolovat, zda byly zadány správné přihlašovací údaje. Útoky na SSH spočívají v tom, že útočník zkouší různá známá uživatelská jména a hesla. O útoku, že by útočník zkoušel různé klíče, jsem ještě neslyšel.

Řešíme tu případ, kdy je na SSH serveru povoleno přihlášení pouze klíčem, přihlášení heslem tedy není povolené. Když se potká hloupý útočník a rozumný server, útočník se pokusí přihlásit heslem, tak server nekontroluje, zda byly zadány správné přihlašovací údaje – protože má zakázané přihlášení heslem, tak takový pokus o přihlášení rovnou odmítne. Pokud se potká „rozumný“ útočník s rozumným serverem, ani na tom serveru přihlášení jménem a heslem nezkouší, protože mu server poslal informaci, že je povolené pouze přihlášení klíčem. Samozřejmě nemůžu vyloučit, že existuje hloupá implementace SSH serveru, která ověřuje jméno a heslo i tehdy, když je přihlášení jménem a heslem zakázané. Pak je ale rozumné takovou hloupou implementaci nahradit něčím normálním.