[linux-l] Scanner unterwegs

[Steffen Dettmer]

* Sven 'Rae the Git' Grounsell wrote on Mon, Sep 06, 2004 at 10:57 +0200:
> Desweiteren ist der Login ausschliesslich unter Verwendung eines
> DSA-Keys moeglich, der per Direktive mehr als 1024bit haben muss; 

1024 würde ich persönlich auch akzeptieren. Gibt es Beispiele für
Angriffe über geknackte asymetrische Schlüssel im `unwichtigen
Umfeld' (also Internet ausser Banken und was sonst noch so Spass
macht)?

> die Passwortlaenge des Schluessels kann ich leider anhand des
> oeffentlichen Schluessels nicht nachvollziehen, sonst gaebe es
> auch hier eine Mindestlaenge - da bin ich auf das
> Verantwortungsbewusstsein des Users angewiesen.

Na, IMHO hätte das aber keine Aussage. Wenn z.B. der
Bildschirmschoner den Key nicht aus dem Agent löscht und der User
seine effektiv 100 Bit starke Passphrase bloss einmal im Monat
eingibt, nützt's ja auch nix, wenn man z.B. an den Agent oder
überhaupt an die Maschine kommt... Ich denke, entweder traut man
der Maschine (der man den SSH Key anvertraut), oder eben nicht.
Im letzeren Fall steht vermutlich geeignete Crypto-Hardware zur
Verfügung :-)

> Das ist zugegebenermassen keine Hilfestellungen fuer ein bereits
> geknacktes System, aber es verhindert dennoch recht zuverlaessig

Zuverlässig? Na, reicht ja manchmal, wenn ein Patch fehlt...

> Aehnliches fuer die Zukunft und schliesst ssh in weiten Teilen als
> schwaechsten Punkt aus.

Ja, ich glaub, es reicht wenn man 10% sicherer ist, als der
Durchschnitt, weil die anderen dann die Script-Kiddies
beschäftigen... :)

> und eine halbe Stunde sollte einem Sicherheit schon wert sein,
> wenn sie so effektiv zu erhoehen ist.

yep, und bei der zweiten Maschine sind's sogar bloss noch 3
Minuten, weil man die Zeile gleich findet :)

Also, um mal zu meiner eigentlichen Frage zu kommen: ihr macht
dann Administration per `ssh <user>' und `su', ja? Ich hatte mal
sowas, aber war schlecht automatisierbar (man hat am Ende
Klartext-Root-Passwörter in Scripts :-), also hab ich dann
`ssh root at localhost' verwendet. Na, bloss wenn man SSH sowieso
trauen muss, kann man ja doch wieder gleich root-Zugriff
erlauben, oder? Gut, man kann so zwei Keys erzwingen etc, aber
wenn man z.b. RSA 2048 nicht traut, hat man wohl eh verloren
(in dem Fall nicht vergessen, alle Bankkarten (ec, Maestro, ...)
zurückzugeben! Die sind auch bloss 3DES geschützt... SCNR). 

Seh den Vorteil nicht so recht, ehrlich gesagt.

oki,

Steffen