bezgl. ssh root login

[tic]

http://article.gmane.org/gmane.science. ... ical/11840

Using su is a security risk nowadays.
Your security is only as strong as the weakest link, and su is a weak link.

Ich fand obenstehenden Diskussionsbeitrag recht gelungen.
(Da steht übrigens mehr als obenstehendes Zitat)
Umsomehr als Root-Login in diesem Forum (Natürlich ist was dran) ziemlich tabu ist.

--tictric

[floschi]

Hm, dann gehst du aber davon aus, dass bei all denen, die diesen Beitrag jetzt lesen und ihn nicht kapieren, ausschließlich die Key-Authentifizierung aktiviert ist und ein Passwortlogin ausfällt, sonst hast du nämlich deinen rießengroßen Vorteil nicht mehr.

Desweiteren loggst du dich damit für jeden Sch.eiß auf deinem Server als root ein? Ich dachte langsam, zumindest meinen Admins das endlich abgewöhnt zu haben, das birgt v.a. bei unerfahrenen enorme Risiken...

Gegenfrage: Loggst du dich daheim auch ständig als root ein, aus Bequemlichkeit? OK, wenn du Windows nutzt schon, aber davon gehe ich mal nicht aus ;)

Mein Fazit:

Ich gebe dir 100%ig recht, wenn Auth nur per PubKeys möglich ist und ich sowieso nur dann auf den Server muss, wenn ich wirklich als root benötigt werde.

In jedem anderen Szenario sehe ich mehr Nach- als Vorteile ;)

[legato]

Allerdings ist doch PubKey auth _plus_ guter Passphrase immer noch "sicherer" als nur pubkey auth bzw nur Passwort. Diese Kombination ist ja grad der trick der den ganzen Login vorgang sicherer macht.
oder hab ich da was falsch verstanden?

RootLogin zu verbieten find ich aber trotzdem noch sinnvoll, allein deshalb weil der Angreifer auch noch einen Usernamen "erraten" muss.

[tic]

Desweiteren loggst du dich damit für jeden Sch.eiß auf deinem Server als root ein?

Nein, ich hab Root-Login abgeschaltet :-). Bei mir gibt's auch kein ftp.

Ich fand aber, so einiges was er da von sich gibt ist nicht von der Hand zu weisen und empfand das als guten Diskussionsanstoß.

--tictric

[floschi]

Ich fand aber, so einiges was er da von sich gibt ist nicht von der Hand zu weisen und empfand das als guten Diskussionsanstoß.

Da hast du ja recht, nur sehe ich es eben differenzierter, vor allem im Hinblick auf die User hier, die das lesen und umsetzen, ohne vorher auch nur ein wenig nachzudenken ;)

[niemand]

Ich habe auch mitbekommen, dass hier das Ermöglichen des Einloggens als root via ssh eine Art "nono" zu sein scheint. Doch warum eigentlich? Selbst, wenn ich nur die Passwortabfrage habe, sehe ich eine BF-Attacke bei gut gewähltem Passwort als aussichtslos an. Der einzige Unterschied zu der Variante, root-Login zu unterbinden und via su an UID0 zu kommen, ist doch, dass der username bekannt ist. Gut, das reduziert den theoretischen Zeitaufwand für das Erlangen einer Shell auf diesem Weg von vllt. 10000 Jahren auf vllt. 2000 Jahre (beide Werte ohne Grundlage, höchstwahrscheinlich sind das aber weit größere Zahlen, hat schonmal jemand die kurze Verzögerung bei falschem Login bemerkt? ;) ) - aber da mache ich mir lieber Sorgen um das Ausnutzen irgendwelcher Bugs, sei es nun sshd oder irgend ein anderer Dienst auf der Maschine.
Außerdem gibt es ja nun auch andere, noch sicherere Verfahren, etwas Nettes auf Challenge/Response-Basis z.B.
Ich sehe wirklich keinen Grund, den Login als root zu unterbinden (sofern die anderen Faktoren stimmen, natürlich).

Desweiteren loggst du dich damit für jeden Sch.eiß auf deinem Server als root ein?

Ich weiß, ich bin nicht gemeint. Aber wenn ich mich auf einer meiner Maschinen einlogge, dann in der Regel, um administrative Aufgaben wahrzunehmen. Dazu benötige ich nunmal in der Mehrheit der Fälle UID 0. Zum arbeiten, spielen und testen habe ich lokal Rechner stehen, da gibt es dann auch entsprechende Useraccounts. Auf einem ausdrücklichen Web/Mail/sonstwas(ausgenommen: Shell)-Server sollten imho so wenig user wie möglich eine Shell erhalten dürfen.

cu

[floschi]

Tja, es ist eben ein Baustein eines Konzeptes, weglassen kann man ihn sicherlich. Genauso wie ich Firewalls weglasse, was andere wiederum nicht verstehen können - jedem sein Sicherheitskonzept ;)

[captaincrunch]

Ich habe auch mitbekommen, dass hier das Ermöglichen des Einloggens als root via ssh eine Art "nono" zu sein scheint. Doch warum eigentlich? Selbst, wenn ich nur die Passwortabfrage habe, sehe ich eine BF-Attacke bei gut gewähltem Passwort als aussichtslos an.

Da hat aber mal jemand ganz übel gepennt. BF-Attacken sind bei weitem nicht das einzige Risiko, root den Zugang per SSH zu erlauben. Sorry, dass ich dich jetzt aus deiner heilen Welt holen muss, aber lies mal (z.B.) http://www.ece.cmu.edu/~dawnsong/papers/ssh-timing.pdf . Weitere Variante: man in the middle.

Vielleicht verstehst du nach der Lektüre besser, welche Risiken auch SSH bietet, mal ganz angesehen davon, dass auch immer wieder neue Sicherheitslücken dort auftauchen werden.

OT (wobei ich sogar noch weiß, dass ich mich wiederhole):

Aber wenn ich mich auf einer meiner Maschinen einlogge, dann in der Regel, um administrative Aufgaben wahrzunehmen. Dazu benötige ich nunmal in der Mehrheit der Fälle UID 0.

Ich kann dir gerne für eine meiner Kisten einen root-Zugang geben. Du solltest dich nur nicht wundern, warum du dort als root weniger darfst als ein eingeschränkter User auf deiner Kiste.
Möglich wird sowas z.B. durch RSBAC, das es ermöglicht, root (der Wurzel allen Ã?bels) endlich seine Allmacht zu nehmen. Darüber hinaus lassen sich bestimmte Dinge (Kernelconfiguration, Dienste starten/stoppen, usw. usf.) dort feingranular aufteilen.
Angreifer finden es jedenfalls gar nicht so lustig, wenn sie enelich einen root-Exploit im Dienst XY gefunden haben, damit aber weniger als nüscht anfangen können.
Falls jemand bessere Vorschläge hat, bin ich (inkl. der gesamten Security-Welt) ganz Ohr für neue, möglichst innovative Lösungen. Eine bessere ist mir jedoch bislang nicht bekannt.

[niemand]

Keine Angst, du reißt mich nicht aus meiner heilen Welt :)
Mein Fehler, ich habe

Außerdem gibt es ja nun auch andere, noch sicherere Verfahren, etwas Nettes auf Challenge/Response-Basis z.B.

nicht deutlich genug hervorgehoben, bzw. habe mich beim Rest zu sehr auf BF beschränkt.

Nur, nehmen wir an, dass ein "man in the middle"-Angriff für jedes Scriptkiddy so einfach durchzuführen wäre, dann wäre es für dieses doch fast ebenso einfach, einen non-root-Account zu erlangen und dann, wie in dem Beitrag, auf den sich der Ausgangspost bezieht, über su die notwendigen Rechte zu erhalten?

Du schreibst, dass root auf deinen Maschinen weniger Rechte als ein normaler User hat, welchen Grund gibt es dann noch, den root-login via ssh zu unterbinden und den normaler User zuzulassen?

Ich gebe gerne zu, mich mit RSBAC so gut wie gar nicht auszukennen, du darfst mich nun auch gerne für naiv oder altmodisch halten, wenn ich sage, dass ich auf meinen Rechnern einen User haben möchte, der die Rechte für alles hat - alleine, weil ich oft mehrere Aufgaben erledige, wenn ich mich einmal einlogge. Für mich wäre es da eher hinderlich, für jede Aufgabe einen anderen Account zu wählen.

Ich muss dazusagen, dass ich Rootserver nur hobbymäßig betreibe und deswegen Aufwand gegen Nutzen abwägen muss. Ich denke, ein normales Scriptkiddy hat schon genug Probleme damit, dass es sich bei einem Exploit auf einen normalen Dienst auf meinen Kisten in einer chroot-, teilweise auch in einer UML-Umgebung wiederfindet. Dabei hält sich dann der Aufwand für mich in Grenzen und die, sowieso nur relative, Sicherheit ist auch in einem recht hohem Maße gegeben.

Man muss ja auch immer sehen, was man gegen wen absichern möchte. Ich denke, die Leute, die es auf unsere Rootserver abgesehen haben, suchen nur schnell und ohne Aufwand Bandbreite und/oder Speicherplatz. Und ich bin immer noch der Meinung, dass diese Leute nichts damit anfangen können, wenn ich Root-Login via ssh erlaube, vorausgesetzt, die anderen Sachen stimmen.

cu

[captaincrunch]

Mein Fehler, ich habe
Zitat:
Außerdem gibt es ja nun auch andere, noch sicherere Verfahren, etwas Nettes auf Challenge/Response-Basis z.B.
nicht deutlich genug hervorgehoben, bzw. habe mich beim Rest zu sehr auf BF beschränkt.

Darum wird hier ja über das Unterbinden des root-Login hinaus auch immer wieder zu PubKey-Auth geraten. ;)

Nur, nehmen wir an, dass ein "man in the middle"-Angriff für jedes Scriptkiddy so einfach durchzuführen wäre, dann wäre es für dieses doch fast ebenso einfach, einen non-root-Account zu erlangen und dann, wie in dem Beitrag, auf den sich der Ausgangspost bezieht, über su die notwendigen Rechte zu erhalten?

Der "Umweg" über einen normalen Useraccount stellt aber immerhin eine weitere Hürde dar, bei der man die Gefahr des o.g. durch geeignete Schutzmaßnahmen verringern kann.

Ich gebe gerne zu, mich mit RSBAC so gut wie gar nicht auszukennen, du darfst mich nun auch gerne für naiv oder altmodisch halten, wenn ich sage, dass ich auf meinen Rechnern einen User haben möchte, der die Rechte für alles hat - alleine, weil ich oft mehrere Aufgaben erledige, wenn ich mich einmal einlogge. Für mich wäre es da eher hinderlich, für jede Aufgabe einen anderen Account zu wählen.

Auch das ist mit RSBAC problemlos machbar. Eine "Gewaltenteilung" macht die Sache aber halt noch etwas sicherer.

Ich muss dazusagen, dass ich Rootserver nur hobbymäßig betreibe und deswegen Aufwand gegen Nutzen abwägen muss.

Na willkommen im Club. ;) Ich für meinen Teil betrachte den Serverbetrieb aber als Herausforderung in puntko Sicherheit, und möchte selbst für meine popeligen kleinen Webseiten das absolute Optimum an Sicherheit herausholen, auch wenn es den Aufwand weniger als nicht rechtfertigt.

[dodolin]

www.ece.cmu.edu/~dawnsong/papers/ssh-timing.pdf

Eh, du bist ja immer wieder für ein paar interessante Links gut! ;)
Habe jetzt nur die 1. Seite zur Hälfte gelesen, aber wenn ich das richtig sehe, basiert das ganze darauf, dass der Angreifer in der Leitung hockt und mitlauschen kann. Ich würde daher davon ausgehen, dass das nur von einem sehr begrenzten Teil der Angreifer wirklich genutzt werden könnte.

Ich für meinen Teil betrachte den Serverbetrieb aber als Herausforderung in puntko Sicherheit, und möchte selbst für meine popeligen kleinen Webseiten das absolute Optimum an Sicherheit herausholen, auch wenn es den Aufwand weniger als nicht rechtfertigt.

Du solltest dann aber fairerweise auch nicht verschweigen, dass du dich - zumindest auch - berufsweise mit IT-Sicherheit beschäftigst und das zu deinem täglich Brot gehört. ;)

[niemand]

Es geht, ganz grob gesagt, darum, dass man mithilfe des Timings der einzelnen Tastenanschläge und vieler komplizierter Formeln sowie Statistiken das Passwort erraten kann. Ich würde sogar soweit gehen, zu sagen, dass es für die allerwenigsten Leute ein gangbarer Weg ist, aber nichtsdestotrotz ist es sehr interessant :)

cu

[captaincrunch]

aber wenn ich das richtig sehe, basiert das ganze darauf, dass der Angreifer in der Leitung hockt und mitlauschen kann. Ich würde daher davon ausgehen, dass das nur von einem sehr begrenzten Teil der Angreifer wirklich genutzt werden könnte.

Ich hab ja auch nicht gesagt, dass es einfach ist, sondern wollte nur aufziegen, dass auch SSH nicht automatisch (gerade bezogen auf's Thema) die perfekte Sicherheit bietet. ;)

[rootmaster]

ohne solche "geschütze" wie rsbac aufzufahren, kann man auch folgendes machen:

standardmäßig kein root-remote-zugang und auch keinen user, der nach root "suen" kann !

wie kommt man remotemäßig rein ?
man macht einen user-login, der aber gleich cecancelt wird. dadurch startet sich ein ssh-daemon auf einem nichtstandardport auf dem man sich innerhalb eines zeitfensters und mit der remote-ip des users einloggen kann. wenn man noch keys für root benutzt sollte das für die "standardfälle" hinnreichend sein 8)

ps: nur so als kleine anregung ;)

"back to the roots"

[captaincrunch]

Interessante Idee. Entspringt sie eigentlich deinem Kopf, oder gibt's bereits Leute, die das so handhaben? Ich für meinen Teil höre sowas jedenfalls zum ersten Mal. Wenn da noch nichts "fertiges" gibt, wäre es sicherlich ganz lustig, sowas mal zu realisieren.

Bevor jetzt aber was in der Richtung kommt: für mich persönlich wär's nix, mich reizt nur die Umsetzung des Ganzen. ;)

[thorsten]

Im Prinzip ist das ja der unausgegorene Anfang von Portknocking.

Ich hatte vor 2 Jahren mal einen Kollegen, der sowas mit einem 2. ssh Server aufgezogen hat.
Da waren jedoch nur IPs mit einer bestehenden SSH Verbindung in der Lage zu dem 2. Server zu connecten. Das ganze wurde über ipchains oder schon iptables gelöst.

BTW: Meine ssh-daemons lauschen auch nicht auf Port 22...

[outofbound]

Hm, ein etwas ähnliches System habe ich mal verwendet. ;)

Ich habe per Script auf eine EMail gewartet, in der (per PGP verschlüsselt) die Zugangsdaten
zu meinem Heimrechner standen. Dieses Script hat die Mail entschlüsselt und ist dann hingegangen und hat einen Reverse SSH aufgemacht... zu der von mir genannten IP/Port Konfiguration.

Nach ner Weile hab ich das ganze dann wieder abgeschaltet... Es ist aber ziemlich nützlich um an einen Rechner zu kommen der hinter einer Firewall steht und den man Remote trotzdem warten will. ;)

Gruss,

Out

[captaincrunch]

Im Prinzip ist das ja der unausgegorene Anfang von Portknocking.

Würde ich so nicht sagen. Beim Portknocking hast du "nur" zwei Hürden:
1. Reihenfolge / Abfolge des "Klopfens".
2. Login des Users auf den dadurch freigeschalteten Port.

In dieser Variante ist es immerhin eine Hürde mehr:
1. Login als User.
2. Connect auf einen bestimmten Port. Als Idee dazu: der Port wird (optional) dynamisch festgelegt, und dem User an eine definierte Emailadresse zugeschickt.
3. Weiteres Login als User/root/whatever.

Daher finde ich diese Vorgehensweise ehrbelich besser als "ordinäres" Portknocking...auch wenn's für meinen Geschmack (bitte beachten) irgendwie immer noch etwas security by obscurity ist. ;) Mich interessiert daran schlicht und ergreifend die Umsetzung. Vielleicht fang ich einfach mal an. :)

[Joe User]

~/.bash_* sollte reichen ;)

[niemand]

Im Prinzip ist das ja der unausgegorene Anfang von Portknocking.

Würde ich so nicht sagen. Beim Portknocking hast du "nur" zwei Hürden:
1. Reihenfolge / Abfolge des "Klopfens".
2. Login des Users auf den dadurch freigeschalteten Port.

In dieser Variante ist es immerhin eine Hürde mehr:
1. Login als User.
2. Connect auf einen bestimmten Port. Als Idee dazu: der Port wird (optional) dynamisch festgelegt, und dem User an eine definierte Emailadresse zugeschickt.
3. Weiteres Login als User/root/whatever.

Daher finde ich diese Vorgehensweise ehrbelich besser als "ordinäres" Portknocking...

Nun, eigentlich unterscheidet sich doch nur 1. - Login als user vs. Portsequenz.
2. und in Folge 3. lässt sich dann doch sicher auch mit ähnlichem Aufwand bei der Variante mit Portknocking einrichten. Unter dem Gesichtspunkt (Angreifer muss erstmal die Sequenz erraten, anstatt sich nur als user einzuloggen und den Login zu canceln), sehe ich bei Portknocking wieder Vorteile bezüglich der Sicherheit.

(sobald ich eine neue Netzwerkkarte für den Schleppi habe, versuche ich auch einmal, das einzurichten - solch komplexe Sachen möchte ich dann doch lieber erstmal lokal durchspielen ;) )

cu

[nyxus]

Unter dem Gesichtspunkt (Angreifer muss erstmal die Sequenz erraten, anstatt sich nur als user einzuloggen und den Login zu canceln), sehe ich bei Portknocking wieder Vorteile bezüglich der Sicherheit.

Wenn der Angreifer aber die Kommunikation mitschneiden kann ist die Version mit dem User deutlich im Vorteil. Denn das richtige Password kann er nicht mitsniffern, die Portknocking-Sequenz schon.

[niemand]

Stimmt, daran habe ich nun gar nicht gedacht.

cu

[tic]

Na da ist ja doch ne Diskussion entstanden.

Habe ürbigens auf einem Server folgendes stehen und finde das recht sinnvoll:

PermitRootLogin without-password

Auf diesem Server ist root der einzige der sich einloggen kann und ne shell hat.

Edit: Ich mache dort niemals was anderes als Admin Zeugs.

gruß
tic