Omezení přístupu na SSH z některých IP

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Omezení přístupu na SSH z některých IP
« Odpověď #15 kdy: 06. 06. 2020, 01:31:41 »
- / mi řeší zfs snapshoty za poslední dva týdny (vpsfree.cz)
Jeden z důvodů, proč zálohuju, je, že se bojím, že se něco stane celému providerovi. Ale je pravda, že / není moc cenné, protože typicky stačí nainstalovat balíčky a je to.
- /etc a /home dělá cron na té masine a odesílá to do NASu
Z toho NASu to pak někam stahuješ, nebo tam je append-only přístup, aby to případný ransomware nemohl přepsat?

...
Možná by bylo dobré, kdyby lidé, co doporučují zákaz roota, současně uvedli scénáře nějakých útoků, které to může odvrátit. Já vím o jednom, CVE-2008-0166. Jak moc je to relevantní dnes (jako že se objeví podobná chyba) nedokážu posoudit, IMHO trochu jo. Ale teda roota nezakazuju.


Re:Omezení přístupu na SSH z některých IP
« Odpověď #16 kdy: 06. 06. 2020, 10:16:13 »
Možná by bylo dobré, kdyby lidé, co doporučují zákaz roota, současně uvedli scénáře nějakých útoků, které to může odvrátit. Já vím o jednom, CVE-2008-0166. Jak moc je to relevantní dnes (jako že se objeví podobná chyba) nedokážu posoudit, IMHO trochu jo. Ale teda roota nezakazuju.
Zároveň je ale potřeba na druhou misku vah dát to, že se pak dotyčný bude neustále přihlašovat na roota. Buď bude mít povolené su na roota bez hesla, nebo bude heslo kopírovat ze správce hesel, nebo bude dokonce heslo psát ručně.

Re:Omezení přístupu na SSH z některých IP
« Odpověď #17 kdy: 07. 06. 2020, 09:43:01 »
Nemám rád následování takovýhle rad aniž by k tomu byl řečený důvod a útok, kterému to zabrání. Vede to pak k domnění, že root s ssh klíčem je bezpečný, také není (nešifrovaný klíč v home složce je čitelný skoro i pro internetové stránky). Heslo na root je špatné kvůli brute force (či za pomocí slovníku) útoku na server, uhádnout konkrétní neznámý ssh klíč je dnes nemožné, uhádnout párznaké heslo je reálné. Notifikace, pravidelné sledování, nástroje jako fail2ban či pokročilejší mohou nevýhodu hesla smazat.

Je to až s podivem, ale třeba v některých bankách se setkávám pouze s přihlašováním na roota a pouze s doménovým heslem, protože věci jako cyberark, Microsoft AD a nulová podpora ssh klíče při SSO.

Re:Omezení přístupu na SSH z některých IP
« Odpověď #18 kdy: 07. 06. 2020, 10:24:59 »
Vede to pak k domnění, že root s ssh klíčem je bezpečný, také není (nešifrovaný klíč v home složce je čitelný skoro i pro internetové stránky).
To je nesmysl. Bezpečnost je vždy skládačka a bezpečné musí být všechny díly. Pokud si někdo myslí, že když nastaví přihlášení na SSH klíčem, zabezpečil tím vše včetně domu a auta, nic mu nepomůže.

Notifikace, pravidelné sledování, nástroje jako fail2ban či pokročilejší mohou nevýhodu hesla smazat.
Ne, nic z uvedeného nevýhodu hesla smazat nemůže. Protože heslo je možné hádat distribuovaně a také ze stejného místa, odkud se přihlašuje i správce.

Je to až s podivem, ale třeba v některých bankách se setkávám pouze s přihlašováním na roota a pouze s doménovým heslem, protože věci jako cyberark, Microsoft AD a nulová podpora ssh klíče při SSO.
Na tom, že je někde přihlášení jen na roota, není nic s podivem. A to přihlašování doménovým heslem k SSH v bankách – předpokládám, že ten SSH není jen tak vystrčený do internetu, aby se k němu mohl připojovat kdokoli. Pokud je ten server v chráněné síti a jakmile detekujete pokusy hádat hesla, můžete zasáhnout přímo proti zdroji (protože je ve vaší správě), je situace úplně jiná – tohle může smazat nevýhodu hesel.