[linux-l] Scanner unterwegs

Steffen Dettmer steffen at dett.de
Sa Sep 11 15:56:53 CEST 2004 

* Christoph Biedl wrote on Fri, Sep 10, 2004 at 22:59 +0200:
> Steffen Dettmer wrote...
> 
> > Also, um mal zu meiner eigentlichen Frage zu kommen: ihr macht
> > dann Administration per `ssh <user>' und `su', ja?
> 
> Ja.

Bloss eben schlecht automatisierbar, wenn man beispielsweise ein
Script haben möchte, was beispielsweise auf allen Maschinen
/etc/profile.local patchen soll oder sowas.

> > Ich hatte mal sowas, aber war schlecht automatisierbar (man
> > hat am Ende Klartext-Root-Passwörter in Scripts :-), also hab
> > ich dann `ssh root at localhost' verwendet. Na, bloss wenn man
> > SSH sowieso trauen muss, kann man ja doch wieder gleich
> > root-Zugriff erlauben, oder?
> 
> Naja, wenn Du im Gegenzug den sshd nur an 127.0.0.1/::1 bindest ;-)

Na, bloss wie kommt man dann überhaupt drauf?

> Was aber spricht gegen eine Konstruktion mit sudo?

Man weiss ja vorher meist nicht, was man so brauchen wird. Als
ich früher meine paar (20?) Server administrieren musste,
brauchte ich dann mal die Info, auf welchen Maschinen was
bestimmtes in einer root-Crontab steht oder weiss ich was. Infos
bekommt man natürlich meist auch ganz gut als User raus, aber
wenn man überall ein "modprobe ntp.o" oder sowas machen möchte,
muss man schon root sein.

> > Seh den Vorteil nicht so recht, ehrlich gesagt.
> 
> Ein Vorteil von su: Man weiß nachträglich, welcher Nutzer ger00tet hat.

Ja, dass SSH loggt leider (defaultmässig?) nicht der Key, der
verwendet wurde. Leider ist auch der "comment" nur ein Kommentar,
den man jederzeit ändern kann. Hätte ich auch lieber gehabt, wenn
das verlässlich wäre. Aber dann ist man eh schon fast bei
Zertifikaten, was dann schon wieder Arbeit bedeutet... die info,
wer su root gemacht ist, ist jedenfalls eh nicht verlässlich,
aber hilft evtl., wenn jemand z.B. ein Script oder eine Konfig
kaputtgeändert hat - aber nicht für Sicherheit, klar.

Ich glaube, zum Glück versucht niemand ernsthaft brute-force
gegen sshds. Was heute ein PC mit brauchbarem uplink so in einer
Nacht an Kennwörtern probieren kann, ist schon recht erstaunlich.
ein 1024 bit RSA/DSA (sprich kein SSH mit Kennwort, nur Key) find
ich in der Praxis daher eigentlich ausreichend (ich betreue
natürlich keine wichtigen Maschinen, wo es um viel Geld geht,
oderso). Die Angriffe, die geklappt hatten, waren meist wegen
vergessener Patches oder "Groben Unfugs des lokalen Admins".
Meist haben auch die rootkits nicht vernünftig funktioniert -
vielleicht ein Vorteil der heutigen Schnellebigkeit :-)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l