ssh varnost?!?

grom

Sem našel v neki knjigi sledeče:

SSH is a secure protocol for exchanging data. It can be used to log in to
remote machines, execute commands remotely, and transfer files. Since
communication within SSH is encrypted, it is a worthy replacement for
remote-login solutions such as telnet, rlogin, and FTP. Take these mea-
sures to harden SSH:
■ Make sure SSH protocol version 1 is disabled. The sshd_config
file must contain the following line:
Protocol 2
■ The root user should not be allowed to SSH in. Make sure the
following line is present in sshd_config:
PermitRootLogin no
■ Private key files such as ssh_host_key, ssh_host_dsa_key, and
ssh_host_rsa_key should be readable only by root.
■ Make sure Privilege Separation is turned on. The following line
must be present in sshd_config:
UsePrivilegeSeparation yes


Najprej sem popravil skripto, dejansko samo PermitRootLogin iz yes v no

grom@compaq6820s:/etc/ssh$ sudo gedit sshd_config
[sudo] password for grom:

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes





Potlej sem prečekiral tiste ključe, in vse kar sem našel sem dal da ima samo root dostop:

grom@compaq6820s:/etc/ssh$ locate ssh_host_key
grom@compaq6820s:/etc/ssh$ locate ssh_host_dsa_key
/etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_host_dsa_key.pub
grom@compaq6820s:/etc/ssh$ ls -hal ssh_host_dsa_key
-rw------- 1 root root 672 2009-11-23 19:50 ssh_host_dsa_key
grom@compaq6820s:/etc/ssh$ ls -hal ssh_host_dsa_key.pub
-rw-r--r-- 1 root root 606 2009-11-23 19:50 ssh_host_dsa_key.pub
grom@compaq6820s:/etc/ssh$ sudo chmod go-r ssh_host_dsa_key.pub
grom@compaq6820s:/etc/ssh$ ls -hal ssh_host_dsa_key.pub
-rw------- 1 root root 606 2009-11-23 19:50 ssh_host_dsa_key.pub
grom@compaq6820s:/etc/ssh$ locate ssh_host_rsa_key
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_rsa_key.pub
grom@compaq6820s:/etc/ssh$ ls -hal ssh_host_rsa_key
-rw------- 1 root root 1.7K 2009-11-23 19:50 ssh_host_rsa_key
grom@compaq6820s:/etc/ssh$ ls -hal ssh_host_rsa_key.pub
-rw-r--r-- 1 root root 398 2009-11-23 19:50 ssh_host_rsa_key.pub
grom@compaq6820s:/etc/ssh$ sudo chmod go-r ssh_host_rsa_key.pub
grom@compaq6820s:/etc/ssh$ ls -hal ssh_host_rsa_key.pub
-rw------- 1 root root 398 2009-11-23 19:50 ssh_host_rsa_key.pub



TODA!

Ko sem se iz drugega kompa logiral na tega, kjer sem kao popravil ssh tako, da root nima dostopa, sem bil presenečen....:


http://www.shrani.si/?2v/zF/2seZqNBg/test-0000.avi

sudo sicer ni dal dostopa do root imenika, toda sudo su ni delal nobenih problemov, in me je glatko vrgel v root...

Kaj za vraga?!?

bl4z

sej v sistem si se verjetno logiral kot drug user // in je cisto tehnicno sprejemljivo, da ce ej ta clan grupe sudores lahko poglanl celo sudo su //

ponavad ssh streznik omejis z iptables na nek fixen ip / ce to ni mozno pa vsaj port zamenjas - tako bos odblil 99.5% tistih k snifajo okoli !

bl4z

aja // seveda lahko vse userje na tej masini vrzes iz sudoers grupe kar pomen, da ce bos hotu kaj delat kot root/su bos mogu it fizicno na masino !

grom

Oi blaž,

ok, sicer je strela edina uporabnica, (no, to sem jaz), toda če je že v skupini ki ima privilegije sudo,
zakaj potem ni bilo možno
sudo cd /root
ukaza izvesti?

Torej strela mora ostat v sudo skupini.

se mi zdi, da imamo dinamične ip-je, pa to z iptables odpade. (popravici ne vem kaj to sploh je, heh)

kako pa menjam porte?

matija

grom je dejal/-a:

kako pa menjam porte?

/etc/ssh/sshd_config
Port 123 (Ce ga imas zakomentiranega ga odkomentiraj)

grom

aha, torej iz skripte v prvem postu te teme, sicer ni zakomentirano, a je napisan port 22.
Torej tega spremenim in to je to?

Pa a moram to na vseh kompih, mislim če želim dostopat do drugega kompa, a moramo imeti iste porte, ali lahko drugi komp uporablja drugi port?

CrazyLemon

Tako je ..spremeniš port pa odpreš port v routerju če ga maš ..pa porte pod 1024 ne priporočam ker se uporabljajo za raznorazne service
Če je na drugem kompu ssh ta lahko ima xy port..vsak komp z sshjem lahk ma svoje porte..lahko majo tudi iste..ampak od zunaj boš lahko dostopal samo do enega

Če pa te tako skrbi varnost..pa lahko omogočiš da se prijavijo samo tisti s tapravim ključem..katerega si sam zgeneriral
ampak sprememba porta je dovolj v 99%

grom

Oi Lemon, dis iz Crazy!

Torej je zadosti da jaz spreminjam porte. Na koliko dni se pa priporoča menjava portov?

Katere potre pa naj uporabljam? Mislim, v smislu od-do..

Ma, ne skrbi me varnost, razen če mi ne bodo ukradli knjige, musko in filme, ki jih vlečem s torentov, heh (imam nekaj pornografije, od 18 let naprej, pa dam svoj desni prašnik če so te punce res 18 let, heh). Lahko mi poberejo gesla za forume, mail... (nimam poštnega odjemalca)

Predvsem se želim naučiti da vsaj koliko-toliko zavarujem računalnik...

Kako pa pregledam porte ki jih imam? Sem že inštaliral en kup programov, ki jih ne znam uporabljat (zenmap, wireshark, ettercap) ... Tudi John the ripper je misteriozen, no znam ponovit primer iz knjige, ki sem ga pač shranil... ampak ta je za skrekat gesla...

Kako pogledam odprte porte, jih zaprem in po potrebi odprem?

Pa še nekaj, glede varnosti, sem gledal, kateri uporabniki so na mojem kompu. Sem mislil, da sem jaz, root, pa kakšen še za delovanje sistema...
Sem debelo pogledal, ko sem videl spisek dolg ko ponedeljek!!!! Kako je s tem (morebiti bo to za novo temo...)


lp, grom

t3ch

# izpise povezave ki poslusajo na tcp interface
sudo netstat -ltp

CrazyLemon

Haha..ni ti treba menjat portov vsakih X dni ..daš primerno visoko port pa ne bo težav..vsaj js jih nimam
sam pa uporabljam porte 30000+
Script kiddiji itak scannajo sam 22 port
Zdej..dvomim da je toliko uporabnikov..bl se mi zdi da je toliko različnih skupin ..
glede uporabnikov pa

ls /home/

kar se pa tiče skupin..to so skupine serviceov in ni ti treba skrbet za njih (razen če se imenujejo YouWereOwned)

irccar

Si bom malo sposodil temo Recimo da je server za routerjem, ki ima že ugrajen in uklopljen firewall(router), in da je SSH port dokaj visok, samo 1 uporabnik ima dostop do ssh itd..ali je priporočljivo nastaviti še iptables?

CrazyLemon

Če ni nek poceni router in opravlja svoje delo ..in če ne verjameš v zarote.. pol sam ne vidim neke potrebe po tem da moraš še iptables nastavit

irccar

Nep je kr uredu router za moje pojme WL500g
hvala
lp