Mailinglist Archive: opensuse-de (1951 mails)

< Previous Next >
Re: ssh delay gegen unerwunschte logins
  • From: Erhard Schwenk <eschwenk@xxxxxx>
  • Date: Fri, 30 Dec 2005 16:35:24 +0100
  • Message-id: <20051230163524.1bbvs3syas840wko@xxxxxxxxxxx>
Quoting Thomas Gräber <list@xxxxxxxxx>:

Am Freitag, 30. Dezember 2005 11:35 schrieb Andre Tann:
Erhard Schwenk, Freitag, 30. Dezember 2005 11:02:
> Du hattest einen Zero-Day-Exploit für SSH? Das bezweifle ich. Am
> ehesten hast Du Patches nicht eingespielt.

Ich weiß nicht, was ein Zero-Day-Exploit ist. Ich weiß nur, daß auf
der Maschine Dinge gelaufen sind, die da nichts verloren hatten.
Patchmäßig war die Kiste halbwegs aktuell, das letzte Update
vielleicht vier Wochen alt oder so.

Wie der Name schon sagt, ein Exploit, der eine Sicherheitslücke ausnutzt, für
die noch kein Patch existiert....also null Tage nach Entdeckung der Lücke,
evtl. auch von demjenigen geschrieben, der die Lücke entdeckt hat.

Richtig.

Gegen Zero-Day-Exploits hilft es in der Regel nicht, einen Daemon "vor" einen
anderen zu pflanzen - man verlagert damit lediglich das bereits vorhandene
Exploit-Risiko auf den vorderen Daemon und schafft sich ein zusätzliches durch
das Zusammenspiel beider Daemons.

Wenn überhaupt, müßte der weiter vorne stehende Daemon zumindest deutlich
weniger komplex sein oder mit eingeschränkten Rechten laufen. Das ist bei
sshd/Port-Knocking aber zumindest unter Linux gar nicht möglich.

Port-Knocking braucht zur Manipulation der IP-Filter zwingend über weite Teile
des Codes root-Rechte. Ein sshd kann bei public key auth bereits unmittelbar
nach Übermittlung des Benutzernamens den root-Kontext verlassen, denn für den
Zugriff auf authorized_keys, known_hosts und die Schlüsselprüfung reichen
Rechte des jeweiligen Users aus. Selbt der Host-to-Host Handshake ließe sich
in den Userspace von nobody verlagern, nachdem der Private Host Key und die
Konfiguration gelesen wurde.

--
Erhard Schwenk

Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de
k-itx it-dienstleistungen - http://www.k-itx.net

< Previous Next >