[linux-l] Scanner unterwegs

Sven 'Rae the Git' Grounsell sven at tuxhilfe.de
Mo Sep 6 10:57:02 CEST 2004 

On Sun, 5 Sep 2004 21:23:50 +0200
Christoph Biedl <cbiedl at gmx.de> wrote:

> Winfried Wendler wrote...
> > Da mein root Passwort nicht originell ist, hat man mich erwischt.
> 
> $ grep Root /etc/ssh/sshd_config
> PermitRootLogin no
> 
> Gut, es gibt genug Leute, die "local user account = local root
> acount" sagen, weil im Zweifelsfall immer noch ein paar unbekannt
> local root exploits existieren - aber es schraubt die Latte schon
> ein wenig höher.

Bei mir und bei einigen Kunden-Systemen auf Arbeit hat dasselbe nette
Stueckchen Code seit/vor einigen Wochen auch herumgewildert.
Allerdings ist es nur bei einer Handvoll Kisten erfolgreich gewesen,
wo die Kunden wohl aehnlich wie Du ein recht unsicheres Passwort
gewaehlt haben, bzw auch bei einem unserer Testserver, dem wir
unachtsamerweise auch ein eher fahrlaessiges Passwort verpasst haben
(in letzterem Falle kein tragischer Verlust, da das Ding weitestgehend
aus einem vorhandenen Image bestand und ein paar wenig aufwendige
Erweiterungen hatte, das war innerhalb einer halben Stunde wieder im
"Originalzustand").

Den Kunden empfehle ich seitdem dasselbe Verfahren, wie ich auch
meinen Server (vorher) schon abgesichert habe:
Wie Christoph richtig anmerkt, Root-Login verbieten, sowie eine
weitere Zeile mit dem Parameter "AllowUsers", wo ausschliesslich
diejenigen eingetragen werden, die explizit einen Shell-Zugang
bekommen sollen.
Desweiteren ist der Login ausschliesslich unter Verwendung eines
DSA-Keys moeglich, der per Direktive mehr als 1024bit haben muss; die
Passwortlaenge des Schluessels kann ich leider anhand des
oeffentlichen Schluessels nicht nachvollziehen, sonst gaebe es auch
hier eine Mindestlaenge - da bin ich auf das Verantwortungsbewusstsein
des Users angewiesen.

Das ist zugegebenermassen keine Hilfestellungen fuer ein bereits
geknacktes System, aber es verhindert dennoch recht zuverlaessig
Aehnliches fuer die Zukunft und schliesst ssh in weiten Teilen als
schwaechsten Punkt aus.
Viel Arbeit ist es auch nicht, das ist normalerweise innerhalb einer
halben Stunde Geschichte und kann einem, wie man sieht, sehr viel
Arbeit und Sorge ersparen... schlimmstenfalls steht sogar eine Menge
Geld auf dem Spiel, und eine halbe Stunde sollte einem Sicherheit
schon wert sein, wenn sie so effektiv zu erhoehen ist.

Gruss,
Sven

-- 
http://www.tuxhilfe.de/
sven at tuxhilfe dot de

Mehr Informationen über die Mailingliste linux-l