[linux-l] Scanner unterwegs

Sven 'Rae the Git' Grounsell sven at tuxhilfe.de
Sa Sep 11 13:55:30 CEST 2004 

Steffen Dettmer <steffen at dett.de> wrote:

> * Sven 'Rae the Git' Grounsell wrote on Mon, Sep 06, 2004 at 10:57
> +0200:
> > Desweiteren ist der Login ausschliesslich unter Verwendung eines
> > DSA-Keys moeglich, der per Direktive mehr als 1024bit haben muss; 
> 
> 1024 würde ich persönlich auch akzeptieren. Gibt es Beispiele für
> Angriffe über geknackte asymetrische Schlüssel im `unwichtigen
> Umfeld' (also Internet ausser Banken und was sonst noch so Spass
> macht)?

Gut, ich haette vielleicht groessergleich sagen sollen

> > die Passwortlaenge des Schluessels kann ich leider anhand des
> > oeffentlichen Schluessels nicht nachvollziehen, sonst gaebe es
> > auch hier eine Mindestlaenge - da bin ich auf das
> > Verantwortungsbewusstsein des Users angewiesen.
> 
> Na, IMHO hätte das aber keine Aussage. Wenn z.B. der
> Bildschirmschoner den Key nicht aus dem Agent löscht und der User
> seine effektiv 100 Bit starke Passphrase bloss einmal im Monat
> eingibt, nützt's ja auch nix, wenn man z.B. an den Agent oder
> überhaupt an die Maschine kommt... Ich denke, entweder traut man
> der Maschine (der man den SSH Key anvertraut), oder eben nicht.
> Im letzeren Fall steht vermutlich geeignete Crypto-Hardware zur
> Verfügung :-)

Ich erwaehnte bereits in einem frueheren Thread, dass man dem User
durchaus die Faehigkeit mitzudenken und Verantwortung zu uebernehmen
zutrauen kann, darf, sollte und manchmal sogar muss. Fatal ist es,
daraus den Umkehrschluss zu ziehen und nach dem aktuellen Vorbild der
T-Com zu sagen, dass der User per Vertrag verpflichtet ist, seinen
Kram sicher zu halten, aber ich ihm meinerseits keine Methoden an die
Hand gebe, die aufoktruierte Sicherheit auch konsequent nutzen zu
koennen (vgl. die letzten 2-3 Ausgaben der c't -> "Sicherheit per
AGB", man braucht in der default-Einstellung kein Passwort mehr um an
sensiblen Kundendaten des Anschlusses herumzuspielen, das
POP3-"Passwort" ist ".", etc pp).

> > Das ist zugegebenermassen keine Hilfestellungen fuer ein bereits
> > geknacktes System, aber es verhindert dennoch recht zuverlaessig
> 
> Zuverlässig? Na, reicht ja manchmal, wenn ein Patch fehlt...

Da bin ich als Admin in der Verantwortung und habe regelmaessig
aktuelle Pakete und Patches einzuspielen.

> > Aehnliches fuer die Zukunft und schliesst ssh in weiten Teilen als
> > schwaechsten Punkt aus.
> 
> Ja, ich glaub, es reicht wenn man 10% sicherer ist, als der
> Durchschnitt, weil die anderen dann die Script-Kiddies
> beschäftigen... :)

s.o.
100%ige Sicherheit ist per Definition unmoeglich - ziehe den
Netzwerkstecker, das Stromkabel und alles andere... und trotzdem kann
noch das Haus einstuerzen und der PC ist unbenutzbar.
Nur sollte man IMHO die Moeglichkeiten, die man hat, auch nutzen und
seinen Usern anbieten (und ja, auch die Verhaeltnismaessigkeit sollte
man nicht aus den Augen verlieren - Restriktionen, die ich im Internet
unerlaesslich finde, werde ich bestimmt nicht in meinem LAN
anwenden...)

> Also, um mal zu meiner eigentlichen Frage zu kommen: ihr macht
> dann Administration per `ssh <user>' und `su', ja?

Natuerlich, ich erlaube doch keinen ungesicherten Root-Zugriff per
Internet - dann kann ich auch Deiner Argumentation zufolge gleich
einen telnetd laufen lassen

> Ich hatte mal
> sowas, aber war schlecht automatisierbar (man hat am Ende
> Klartext-Root-Passwörter in Scripts :-), also hab ich dann
> `ssh root at localhost' verwendet. Na, bloss wenn man SSH sowieso
> trauen muss, kann man ja doch wieder gleich root-Zugriff
> erlauben, oder?

Was willst Du denn da automatisieren?
Was nicht per CronJob erledigt werden kann, kann man auch grad noch
von Hand machen... oder man schreibt ein Script, welches root gehoert
udn nur von diesem ausgefuehrt werden kann (Script wiederrum heisst,
dass es in der meisten Faellen auch per Cron ausgefuehrt werden kann)

> Seh den Vorteil nicht so recht, ehrlich gesagt.

Nicht? Soll mir recht sein - solange es Kisten gibt, die einfacher als
meine zu knacken sind, habe ich tendenziell gute Chancen, nicht die
Zielscheibe eines Angriffs zu sein...

Gruss,
Sven

-- 
http://www.tuxhilfe.de/
sven at tuxhilfe dot de

Mehr Informationen über die Mailingliste linux-l