|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Guchenko 2:5020/400 02 Dec 2004 17:03:34
To : Eugene Grosbein
Subject : Re: Миф о ненадежности пускания рута по ssh
--------------------------------------------------------------------------------
Hello, Eugene!
You wrote to Vadim Guchenko on Thu, 02 Dec 2004 19:08:58 +0300:
VG>> Реально же я не верю в подбор пароля вообще ни в каком из описанных
VG>> случаев, если конечно пароль не из словаря и длиной хотя бы 7
VG>> символов.
EG> Реально же вопрос из FAQ задают в основном те, кто плохо разбирается
EG> в тонкостях защиты, а к тому же не очень осознающие еще
EG> необходимость использования стойких к dictionary attack паролей. Их
EG> лучше подтталкивать к более надежному с практической точки зрения
EG> пути - к запрету удаленного входа рута,
Hо из фака не очевидно, что там предлагается вообще отказаться от взятия
рута любыми способами. Я понял так, что там рекомендуется сначала заходить
по ssh обычным пользователем, а потом брать при необходимости рута через su
с вводом пароля рута.
EG> в чем меня в очередной раз убедил сегодняшний инцидент:
EG> читая логи одного из удаленных серверов, обнаружил что его 22-й порт
EG> не был прикрыт от внешнего мира и весь вчерашний день шел перебор
EG> пароля рута по ssh2 с адресов 140.130.177.203, 211.138.113.23,
EG> 195.102.145.50, 133.43.162.197 и 201.14.84.130 - абсолютно реальный
EG> случай.
Все верно. Подобрать не подберут, но лишную нагрузку на sshd и лишний трафик
создадут. Достаточно закрыть на файрволе, чем отключать возможность вообще.
И временно открывать при необходимости отъезда куда-то в командировку.
EG> И я совершенно спокоен, потому что шанса у них не было никакого -
EG> рута по сети туда не пускает. А если бы пускало, пришлось бы гадать,
EG> а по-хорошему, ехать переставлять систему с нуля.
Hе надо гадать, надо верить математике.
Hа самом деле, даже если бы подбирали пароль не рута, а обычного
пользователя, который не входит в группу wheel, и подобрали бы, ты бы
спокойно себя чувствовал? Я бы нет, потому что даже от обычного юзера можно
напакостить не по-детски - найти какую-нибудь лазейку, забытый пермишен на
файле, подсмотреть логи, спереть что-нибудь важное, насоздавать кучу файлов,
чтобы либо закончилось место на диске, либо иноды, стереть все, что
стираемо. После такого я бы тоже систему пошел переставлять. Так в чем
разница? В масштабах? А по-моему нет никакой разницы, если результат один.
Так что запрет рута вообще и убирание всех юзеров из wheel - это тоже не
панацея. Как ни крути, а либо на файрволе закрывать, либо придумывать
хорошие пароли, либо пользоваться ключами. А на практике надо делать и то и
другое. Поэтому вопрос фака предлагаю сократить до:
>Q: Как пустить пользователя root через ssh?
A: Параметр PermitRootLogin в /etc/ssh/sshd_config.
А пользователь с накоплением опыта сам решит, как лучше поступать.
With best regards, Vadim Guchenko. E-mail: s0lver@kraslan.ru
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
