Quoting Thomas Gräber :
Am Freitag, 30. Dezember 2005 11:35 schrieb Andre Tann:
Erhard Schwenk, Freitag, 30. Dezember 2005 11:02:
Du hattest einen Zero-Day-Exploit für SSH? Das bezweifle ich. Am ehesten hast Du Patches nicht eingespielt.
Ich weiß nicht, was ein Zero-Day-Exploit ist. Ich weiß nur, daß auf der Maschine Dinge gelaufen sind, die da nichts verloren hatten. Patchmäßig war die Kiste halbwegs aktuell, das letzte Update vielleicht vier Wochen alt oder so.
Wie der Name schon sagt, ein Exploit, der eine Sicherheitslücke ausnutzt, für die noch kein Patch existiert....also null Tage nach Entdeckung der Lücke, evtl. auch von demjenigen geschrieben, der die Lücke entdeckt hat.
Richtig. Gegen Zero-Day-Exploits hilft es in der Regel nicht, einen Daemon "vor" einen anderen zu pflanzen - man verlagert damit lediglich das bereits vorhandene Exploit-Risiko auf den vorderen Daemon und schafft sich ein zusätzliches durch das Zusammenspiel beider Daemons. Wenn überhaupt, müßte der weiter vorne stehende Daemon zumindest deutlich weniger komplex sein oder mit eingeschränkten Rechten laufen. Das ist bei sshd/Port-Knocking aber zumindest unter Linux gar nicht möglich. Port-Knocking braucht zur Manipulation der IP-Filter zwingend über weite Teile des Codes root-Rechte. Ein sshd kann bei public key auth bereits unmittelbar nach Übermittlung des Benutzernamens den root-Kontext verlassen, denn für den Zugriff auf authorized_keys, known_hosts und die Schlüsselprüfung reichen Rechte des jeweiligen Users aus. Selbt der Host-to-Host Handshake ließe sich in den Userspace von nobody verlagern, nachdem der Private Host Key und die Konfiguration gelesen wurde. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de k-itx it-dienstleistungen - http://www.k-itx.net