Co když ztratím SSH klíč?

[Sysel na másle]

Jak se pozná kompromitace?

[Reklama]

[Jenda]

Jak se pozná kompromitace?

Někdy se to dá odhalit hned (nějaký člověk si sedá k tvému odemčenému terminálu), někdy po čase (co tady asi dělá ten proces /usr/bin/backdoord?), ale často vůbec.

[prezek]

Jak se pozná kompromitace?

já se občas koukám na logy. Asi by nebyl problém po sobě zamést stopy v případě úspěšného útoku. Pokusy o přihlášení by ale měly být snad vidět.
gzip -cd /var/log/auth.log.4.gz |grep -v moje.ip.adresa | grep -v pam_unix ...

[JardaP .]

Jak se pozná kompromitace?

Blbe. Treba v logu najdete, ze jste byl prihlasen v dobe, kdy s jistotou vite, ze jste s pritelkyni a psem taboril uprostred amazonske dzungle a opekal si nadivanou anakondu. Na to byste ale musel logovat na vzdaleny stroj, aby vam to nekdo nepromazal.

Jindy muzete kompromitaci predpokladat a klic preventivne zahodit. Treba kdyz vam telefon nekdo slohne nebo vam sekretarka mezi lakovanim nehtu rekne, ze se okolo vaseho telefonu ochomytal nejaky pan, rikal, ze prisel zkontrolovat plynovou instalaci a pripojil si vas telefon k pocitaci a byl obleceny v dlouhem plasti, klobouku a velkych slunecnich brylich.

[ČernoBýl]

Jindy muzete kompromitaci predpokladat a klic preventivne zahodit. Treba kdyz vam telefon nekdo slohne nebo vam sekretarka mezi lakovanim nehtu rekne, ze se okolo vaseho telefonu ochomytal nejaky pan, rikal, ze prisel zkontrolovat plynovou instalaci a pripojil si vas telefon k pocitaci a byl obleceny v dlouhem plasti, klobouku a velkych slunecnich brylich.

A kua, já myslel, že mě nikdo neviděl :-)

[Reklama]

[Pavouk106]

Jindy muzete kompromitaci predpokladat a klic preventivne zahodit. Treba kdyz vam telefon nekdo slohne nebo vam sekretarka mezi lakovanim nehtu rekne, ze se okolo vaseho telefonu ochomytal nejaky pan, rikal, ze prisel zkontrolovat plynovou instalaci a pripojil si vas telefon k pocitaci a byl obleceny v dlouhem plasti, klobouku a velkych slunecnich brylich.

A kua, já myslel, že mě nikdo neviděl :-)

Buď v klidu, já sekretářku nemám :-)

Ostatním díky za názory. Víceméně jsem všechno tušil, něco i věděl, ale chtěl jsem si to ověřit a dát dohromady.

Výstup pro mě - používat ssh-agenta, jinak se nic moc nemění. SSH klíč mám s heslem (podle mě celkem slušným), přihlašování mám všude pouze SSH klíčem, samotné heslo uživatele nestačí. O servery jako takové se nestarám, plácám si jen na vlastním domácím písečku... I tak je ale bezpečnost důležitá ;-)

Brani vam neco, abyste na kazdem stroji mel jeste druhy klic? Kopii muzete treba za bezmesicne noci zakopat u hrbitovni zdi a pri kompromitaci ci uplne ztrate klice 1 se jednoduse prihlasite (podle okolnosti kliem 1 nebo 2) a klic 1 ze vsech stroju vymazete a pridate tam klic 3, ktery si vygenerujete.

Připadá mi to trochu zzbytečný. Předpokládám, že pokud bych ztratil klíč 1 a útočník toho zneužil, tak mi klíč 2 vymaže nebo jinak znemožní přihlášení. Kdyby se tak nestalo, můžu se přece přes klíč 1 přihlásit klidně já a nahrát si na stroj nový public a pak jednoduše ject na něj... Nebo je v mojí myšlence trhlina? :-)

[Emanuel Komínek]

Především platí, že jednou root, navždy root. Toto celé má tak smysl provádět jen pokud máte jistotu, že ještě nedošlo ke zneužití toho klíče.

A jediný způsob, jak toho alespoň proti některým typům útoku docílit, je remote logging na zabetonovaný server, který akceptuje pouze příkazy "INSERT INTO".

[Rejpal]

Především platí, že jednou root, navždy root. Toto celé má tak smysl provádět jen pokud máte jistotu, že ještě nedošlo ke zneužití toho klíče.

Muzete krapet zvysit bezpecnost jeste tim, ze nastavite PermitRootLogin na False. Ke stroji se tak dostanete pouze pri pouziti klice bezneho uzivatele a pokud potrebujete root ucet, tak se na nej su-cknete, nebot heslo znate. Pokud pri takovem nastaveni dojde ke kompromitaci klice, utocnik se tak dostane k tomu uzivatelskemu a nikoli root uctu - cimz dojde ke zpomaleni utocnikova postupu.

[Rejpal]

Pyskoptak:

Rejpale, ja za to nemuzu, ze nemate prehled. Takze: klic a zaroven heslo pro lidske ucty, jen klic pro skripty.

Dekuji, obecne jsem velmi rad, kdyz zjistim, ze o necem nemam prehled - tak aspon vim, ze mam prazdna mista ve svych znalostech a mohu si je doplnit (obavam se ale, ze to neni pripad momentalni diskuse mezi nami dvema).
Ovsem Vam s Vasim pristupem k bezpecnosti bych nesveril u svych stroju ani poradni hlas v oblasti security, a to ne z duvodu, ze mate mezery ve znalostech v oblasti zabezpeceni, ale proto, ze si je s neopravnenou sebejistotou odmitate priznat.
Na servery proste jedine s "PasswordAuthentication no".

[Pavouk106]

Muzete krapet zvysit bezpecnost jeste tim, ze nastavite PermitRootLogin na False. Ke stroji se tak dostanete pouze pri pouziti klice bezneho uzivatele a pokud potrebujete root ucet, tak se na nej su-cknete, nebot heslo znate. Pokud pri takovem nastaveni dojde ke kompromitaci klice, utocnik se tak dostane k tomu uzivatelskemu a nikoli root uctu - cimz dojde ke zpomaleni utocnikova postupu.

Jo, to jsem už nenapsal - tak to mám na všech strojích.

Sepsáno na hromadě:
Přihlášení jen SSH klíčem (který je zabezpečený sám o sobě heslem - nevím, jak to oficiálně nazvat)
Přihlášení jen heslem uživatele je nemožné
Root login zakázán

Je zabezpečení tímto stylem běžnou praxí? Dělám to správně?

[jenicek]

Ano zaplatpanbu, povolit SSH pouzivat prosta hesla bez klicu znamena vyrobit bezpecnostni diru jako hrom.

Přihlášení user/password není bezpečnostní díra, ani malpractice.
Je to rizikové, pokud je user vůl.

[psychohlina]

Rejpale, budicek!

Kód: [Vybrat]

        RequiredAuthentications2 publickey,password
        PubkeyAuthentication yes
        PasswordAuthentication yes


[JardaP .]

Brani vam neco, abyste na kazdem stroji mel jeste druhy klic? Kopii muzete treba za bezmesicne noci zakopat u hrbitovni zdi a pri kompromitaci ci uplne ztrate klice 1 se jednoduse prihlasite (podle okolnosti kliem 1 nebo 2) a klic 1 ze vsech stroju vymazete a pridate tam klic 3, ktery si vygenerujete.

Připadá mi to trochu zzbytečný. Předpokládám, že pokud bych ztratil klíč 1 a útočník toho zneužil, tak mi klíč 2 vymaže nebo jinak znemožní přihlášení. Kdyby se tak nestalo, můžu se přece přes klíč 1 přihlásit klidně já a nahrát si na stroj nový public a pak jednoduše ject na něj... Nebo je v mojí myšlence trhlina? :-)

Trhlina je v tom, ze utocnik musi napred prolamat passphrasi. Pokud ji mate dostatecne hutnou, bude to na sve PS/2 farme louskat treba tyden nebo i mesic. A az to rozlouska, zkusi se prihlasit a zjisti, ze jste mu zatim vymazal klic a on palil elektrinu nadarmo. A vetsina potencialnich utocniku PS/2 farmu nema, treba ja bych to na svem HW neroslouskl ani za sto let, i kdybych ze vsech stroju, co se mi tu vali, udelal louskaci cluster.

[Pavouk106]

JardaP.: Myslel jsem to asi takhle.

Na serverech mám autorizovaný jen klíč 1 (nemám druhý do zálohy).
Pojmu podezření na kompromitaci.
Naloguju se s klíčem 1 a zanechám tam autorizaci pro nový klíč 2.
Smažu autorizaci klíče 1.
Hotovo.

Chtěl jsem tím říct, že nevidím důvod mít autorizované dva klíče. Prostě proto, že:
1. když už louskne heslo a naloguje se, zabrání mi nalogovat se taky (řekl bych, logicky) smazáním autorizovaných klíčů (všech kromě svého nového botnet klíče) - nemá význam mít více klíčů
2. když to nelouskne dřív, než se stihnu nalogovat já, tak udělám výše popsané - nemá význam mít více klíčů

Tak jsem to myslel. Samozřejmě, že při případný ztrátě by mě potěšilo, kdyby útočník lámal zbytečně ;-)

Mezi náma - po šlohnutí notebooku neb mobilu bych stejně očekával formát disku nebo flash ROM. Nečekal bych, že si nějakej malej zlodějíček začně zjišťovat, "Co to je to id_rsa?" a následně "Jak můžu louksnout heslo o dýlce více než deseti znaků (do konce svého života?" Koneckonců, takový čórky končí v zastavárně/bazaru/na aukru, co si budeme povídat...

Paranoia ano, ale jen ve zdravém množství :-D Tak jako tak bych ale vyrobil novej klíč.

[JardaP .]

JardaP.: Myslel jsem to asi takhle.

Na serverech mám autorizovaný jen klíč 1 (nemám druhý do zálohy).
Pojmu podezření na kompromitaci.
Naloguju se s klíčem 1 a zanechám tam autorizaci pro nový klíč 2.
Smažu autorizaci klíče 1.
Hotovo.

To neresi pripad uplne ztraty klice. Kdyz mate klice dva, porad si muzete ten druhy jit vykopat ke hrbitovni zdi.