Mailinglist Archive: opensuse-de (1890 mails)
| < Previous | Next > |
Re: putty, ssh-keys and su
- From: Steffen Dettmer <steffen@xxxxxxx>
- Date: Wed, 24 Jan 2007 23:29:40 +0100
- Message-id: <20070124222940.GN4958@xxxxxxxxxxx>
* Hans-Peter wrote on Wed, Jan 24, 2007 at 16:35 +0100:
> Hallo Wolfgang,
>
> >Warum loggst du dich nicht gleich mit einem key auf dem Server als root
> >ein? Falls das klappt, würde ich das Anmelden über Password abschalten.
> >UsePAM no in /etc/ssh/sshd_config.
>
> Ok, wäre auch eine Möglichkeit. Ist das sicherheitsmässig gleich gut
> wie "PermitRootLogin no" und dann mit "su" root werden?
Nein, PasswordAuthentication (und UsePam, sonst geht
PasswordAuthentication doch ;)) abschalten ist sicherer, als
"PermitRootLogin no" + su. Bei PermitRootLogin no" + su muss ein
Angreifer z.B. einmal ca 4-8 Zeichen Namen und ein Passwort raten
(beispielsweise 6*5 + 8*7 == 86 Bit - vielleicht kann er noch plausible
Annahmen machen [hans, peter, hape, hanspeter, hp, ...], wird noch
einfacher).
Dann kann er lokale Sicherheitslücke ausnutzen (sudo Fehlkonfig) oder
ganz einfach dem User, den er gehackt hat, ein keylogger unterschieben.
Wird dieser user dann root, merkt sich der keylogger das PW. Geht
einfach, wenn man ein loggendes sudo nach /tmp/.kde-dcom-socket packet
und /tmp in den Path aufnimmt oder sowas, merkt man vermutlich nicht.
Gibt noch genügend andere Tricks. Jedenfalls ist die Hürde, den
richtigen User zu kriegen, danach ist man mindestens interaktiv durch
(ein autorooter schaffts vielleicht nicht, ok).
Auf "Ein User Maschinen" ist dieser User ja der, der auch mal root
werden wird. Auf "Mehre User Maschinen" weiss man das zwar nicht, hat
dafür bessere Angriffschancen (ein user reicht ja, welcher ist egal,
wenn es lokale Sicherheitslücke gibt - und da geht gern was). Meist
kriegt man daher wohl mehr oder weniger einfach einen keylogger (oder
was auch immer gerade passt und zur Hand ist) rein.
Daher glaube ich persönlich nicht, dass "user + su" einen wesentlichen
Sicherheitsgewinn darstellt. Weiterhin ist root gar nicht so wichtig -
der user kann meistens schon alles interessante (hat die Vertraulichen
Mails, darf auf USB Sticks und CDs gucken, geheime Daten runterkopieren
und per Mail verschicken, was up- oder downloaden, pseudonyme Mails
verschicken, ...). Meist will ein Hacker ja vor allem root werden, um
den wirklich root zu täuschen. Wenn er das wegen user + su nicht muss,
wenn er user täuschen kann, ist ihm das ja auch Recht :) Vielleicht will
der Hacker noch patches einspielen, aber auch nur, wenn er wegen eines
fehlenden Patches einbrechen konnte. Na ja, und so weiter.
Soviel zu "user + su".
Wenn Keys verwendet werden, erhöht sich der Aufwand; 1024 Bit RSA sollte
so über 3DES Niveau liegen, also mehr als 112 Bit zu raten. Schlüssel
werden (im Gegensatz zu den meisten Usernamen) meist aus recht gutem
Zufall erzeugt. Ach so, jedes Bit verdoppelt ja den Aufwand; 86 und 87
Bit sind also nicht "etwa gleich", sondern 87 ist doppelt so schwer. Um
bei diesem Beispiel zu bleiben, wäre 112 Bit also 2^26 == 67.108.864 mal
so schwer. Wobei diese Rechnung sehr optimistisch ist (sprich: key ist
wahrscheinlich noch viel schwerer zu erraten).
Das ist meine persönliche Meinung. Es gibt andere Meinungen. Am Ende
muss jeder selbst wissen, wie er seine Millionen schützt. Für die
Liebesbriefe reichen sicherlich beide Ansätze mehr als aus :)
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
> Hallo Wolfgang,
>
> >Warum loggst du dich nicht gleich mit einem key auf dem Server als root
> >ein? Falls das klappt, würde ich das Anmelden über Password abschalten.
> >UsePAM no in /etc/ssh/sshd_config.
>
> Ok, wäre auch eine Möglichkeit. Ist das sicherheitsmässig gleich gut
> wie "PermitRootLogin no" und dann mit "su" root werden?
Nein, PasswordAuthentication (und UsePam, sonst geht
PasswordAuthentication doch ;)) abschalten ist sicherer, als
"PermitRootLogin no" + su. Bei PermitRootLogin no" + su muss ein
Angreifer z.B. einmal ca 4-8 Zeichen Namen und ein Passwort raten
(beispielsweise 6*5 + 8*7 == 86 Bit - vielleicht kann er noch plausible
Annahmen machen [hans, peter, hape, hanspeter, hp, ...], wird noch
einfacher).
Dann kann er lokale Sicherheitslücke ausnutzen (sudo Fehlkonfig) oder
ganz einfach dem User, den er gehackt hat, ein keylogger unterschieben.
Wird dieser user dann root, merkt sich der keylogger das PW. Geht
einfach, wenn man ein loggendes sudo nach /tmp/.kde-dcom-socket packet
und /tmp in den Path aufnimmt oder sowas, merkt man vermutlich nicht.
Gibt noch genügend andere Tricks. Jedenfalls ist die Hürde, den
richtigen User zu kriegen, danach ist man mindestens interaktiv durch
(ein autorooter schaffts vielleicht nicht, ok).
Auf "Ein User Maschinen" ist dieser User ja der, der auch mal root
werden wird. Auf "Mehre User Maschinen" weiss man das zwar nicht, hat
dafür bessere Angriffschancen (ein user reicht ja, welcher ist egal,
wenn es lokale Sicherheitslücke gibt - und da geht gern was). Meist
kriegt man daher wohl mehr oder weniger einfach einen keylogger (oder
was auch immer gerade passt und zur Hand ist) rein.
Daher glaube ich persönlich nicht, dass "user + su" einen wesentlichen
Sicherheitsgewinn darstellt. Weiterhin ist root gar nicht so wichtig -
der user kann meistens schon alles interessante (hat die Vertraulichen
Mails, darf auf USB Sticks und CDs gucken, geheime Daten runterkopieren
und per Mail verschicken, was up- oder downloaden, pseudonyme Mails
verschicken, ...). Meist will ein Hacker ja vor allem root werden, um
den wirklich root zu täuschen. Wenn er das wegen user + su nicht muss,
wenn er user täuschen kann, ist ihm das ja auch Recht :) Vielleicht will
der Hacker noch patches einspielen, aber auch nur, wenn er wegen eines
fehlenden Patches einbrechen konnte. Na ja, und so weiter.
Soviel zu "user + su".
Wenn Keys verwendet werden, erhöht sich der Aufwand; 1024 Bit RSA sollte
so über 3DES Niveau liegen, also mehr als 112 Bit zu raten. Schlüssel
werden (im Gegensatz zu den meisten Usernamen) meist aus recht gutem
Zufall erzeugt. Ach so, jedes Bit verdoppelt ja den Aufwand; 86 und 87
Bit sind also nicht "etwa gleich", sondern 87 ist doppelt so schwer. Um
bei diesem Beispiel zu bleiben, wäre 112 Bit also 2^26 == 67.108.864 mal
so schwer. Wobei diese Rechnung sehr optimistisch ist (sprich: key ist
wahrscheinlich noch viel schwerer zu erraten).
Das ist meine persönliche Meinung. Es gibt andere Meinungen. Am Ende
muss jeder selbst wissen, wie er seine Millionen schützt. Für die
Liebesbriefe reichen sicherlich beide Ansätze mehr als aus :)
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |