Názory k článku OpenSSH má vlastní obranu proti hádání hesel. Jak přesně funguje?

Ahoj. Díky za článek.
Nedávno tady k tomu byla zprávička s dlouhou, lehce offtopic, diskuzí.

Ještě by se hodilo přidat, jak to vypnout, pro ty, kteří to dál chtějí řešit třeba tím Fail2banem nebo firewallem. A do výčtu dalších možností ochrany možná zmínit "port knocking".

Mě v tom konceptu trochu neladí narušování principu Unixovského/Li­nuxového vrstvení funkcionality, kdy se má aplikace soustředit na svou úlohu a ty ostatní nechat na jiné aplikaci, ale proti vkusu, žádný dišputát.

Vsak samotna aplikace nejlip vi, co je a co neni z jejiho pohledu spravne, ne? ;-) Vse ostatni jsou spise work-aroundy na veci, co aplikace (driv) nezvladla. Mimoto to jiste unixove vrstveni je videt krom jineho i ze clanku a naopak se to zlepsilo - sshd se postupne rozdeluje... a veci kolem pripojeni nyni nove obhospodaruje sshd-session, coz prislo prave s verzi 9.8 a kde samotny sshd je uz jen listener...

Jako že to teď bude fungovat podobně jako tcpsvd ( https://smarden.org/ipsvd/tcpsvd.8 )?

RE: ...samotna aplikace nejlip vi, co je a co neni z jejiho pohledu spravne:

Nebyl bych si tak jistý. IMHO záleží na úhlu pohledu.

Např. to že někdo skenuje porty a hledá SSHD službu, o tom aplikace nic neví ani na to neumí reagovat.

Nebo v případě, že bude z jedné veřejce port forwardovaných několik desítek SSHD služeb, tak může být výhodnější řešit ta pravidla centrálně.

Každopádně, když už si dal někdo tu práci a implementoval tam další volitelnou vrstvu zabezpečení, tak je tam, a ať ji využije, každý jak potřebuje. Snad je ta implementace dostatečně robustní a izolovaná, aby to necinklo o některý z Murphyho zákonů.

Mít možnosti základního rate-limitu/ blokování přímo v základní komponentě v základním systému mi dává smysl, zvlášť když za tím stojí lidi z OpenBSD.

Bohužel mají nftables poměrně těžkopádné rozhraní, aby se to šikovně rozšiřovalo z nějakého vysokoúrovňového jazyka bez mezivrstev a rozsáhlých knihoven v a pro C. Není mi jasné, proč nemůže volitelně nftables vypisovat, či získávat stav v nějakém příčetném datovém formátu kromě raw socketu ještě třeba přes unix socket nebo rovnou TCP socket. Však by to nemuselo být standardně zapnuté.

Potom by asi bylo i snazší různé přístupy k blokování, rate-limitingu apod. propojit a v nějakém démonu udělat kompletnější obrázek aniž by ta věc běžela víceméně jako root (resp. se kolem toho faktu muselo hackovat dalšími nástroji a frameworky).

Ale samozrejme, ze i ten "scan" v ramci aplikace poznate - jednoduse z toho, ze se neco pripoji a hned odpoji a ani se nepokusi o nejaky handshake. Ostatne to sshd taky zalogovat umi.

A ano, my uzivatele s IPv6 se uz tak netrapime problemy typu "na jedne verejce forwarduji nekolik desitek sluzeb" ;-) Specificky v pripade ssh se pak nabizi otazka, zda-li je fakt nutny mit do internetu vystaveny vsecko - a jestli treba nahodou nestaci jen mit jen jeden jump-host (pripadne dva kvuli redundanci, ale pokud je rec o jedne verejce, tak asi redundanci neresite...). Aneb je to tak trosku i o designu infrastruktury... a smysluplnosti tech "pozadavku". Ono i kdyz se bavime o te unixove filosofii, tak mit to "jednoduche" mimo jine znamena si to prave nezablesit infrastrukturu tim forwardem desitek sshd do sveta na ruznych portech, ze? :-) U toho jednoho jump hostu snaze vyresite i ten hardening... a treba clovek ani nemusi propadnout az tak velke panice, kdyz se najednou objevi dira v implementaci...

A jinak komentovany clanek popisuje i ty defaulty a zminuje jejich velkou konzervativnost. Ale nejde nezminit, ze vyvoj v OpenSSH jde proste spravnym smerem, kdy se funkcionality z jedne vseobjimajici binarky postupne oddeluji. I to dopady tech Murphyho zakonu logicky zmirnuje.

Pokud port knock,tak přivětivý(pro připojeného).ale tto.je subjektivní:

1.browser : http:/dst:5550
2. Browser + logika na serveru (https://dst/add)
3. nc dst 5550; sleep 3 ; nc dst 5558

Takže tohle neaktivuje jakýkoli robot, co zkouší porty? Ještě je úplně sexy, jak dáš první ten nižší.

Pozdě. Takové omezení mělo být už dávno.

Nejlepší jsou rady expertů, jak je třeba mít silné heslo a měnit ho každý měsíc, ale že je nutné omezovat počet pokusů na to už "expertům" nedochází.

Nejlepší je samozřejmě vše kombinovat a mít i whitelisty ip adress.

Povolit SSH jen z vyjmenovaných adres či rozsahů je docela dobré opatření.
I kdyby to mělo znamenat povolit všechny rozsahy konkrétního poskytovatele internetu nebo mobilního operátora.

VPN není jen o tom, přesunout problém na VPN. Útočník kterému se povede prolomit VPN netuší, že tím si otevře firewall na konkrétní ip adresy. Je to krok navíc, který pomůže.

Pozdě?

Pokud v posledních 15 letech někdo radil měnit heslo každý měsíc, tak to nejspíš nebyl expert.

Aneb: https://www.root.cz/clanky/novy-standard-pro-prihlasovani-nenutte-uzivatele-menit-hesla/

No, do tohoto vas v nejake forme nuti nektere vyhlasky (pokud spadate pod zakon o kyberneticke bezpecnosti), tak i nejake standardy - treba PCISS. Aneb bohuzel ne zdaleka vsude pochopili, ze vynucovane periodicke zmeny hesel jsou ptakovina... a dokonce i dnes najdete "experty", co to i dnes obhajuji jako spravnou vec, nas NUKIB nevyjimaje (vyzkouseno v ramci pripominkovani NIS2).

O tomhle článku ví asi úplně každej, protože to je asi jedinej ve zdejším jazyce.

proc nekomu vadi pouziti klice?

Protoze se muzete dostat do situace, kdy ho proste nebudete mit po ruce? ;-) Jo, je to proste o zvazeni rizik... jestli je vetsi problem to, ze system nepojede, dokud se k tomu klici nedostanete, nebo jestli si nechate "zadni vratka" v podobe toho hesla. Sam bych to treba nedelal... ale jak rikam, ruzna prostredi muzou generovat ruzne potreby. A mimoto, jde to parametrizovat i per-user... aneb jde mit ucty, kde se uzivatel jinak nez s klicem neprihlasi a pritom mit ucet, kde i to heslo projde.

Případně je možné to přihlášení heslem omezit na nějaký IP rozsah.

Že nebudu mít klíč po ruce mi připadá jako výmluva. Pokud nebudu mít klíč po ruce, těžko budu mít po ruce zařízení, do kterého bych byl ochoten zadat heslo.

Naopak. Pokud se musíš připojit ze zařízení, do kterého nechceš zadávat heslo, myslíš že je bezpečnější k němu připojit flashku s klíčem? Asi těžko, žejo? Pokud ti jde o riziko, že je tam keylogger, vždycky je tam úplně stejné riziko, že tam je kopírka flashek. A jako bonus USBkiller, to by potěšilo určitě ještě mnohem víc. Ideálně kopírka a po jejím doběhnutí výboj do portu s flashkou.
Heslová fráze + 2FA pak může být zcela validní způsob, jak se přihlásit v situaci, kdy s sebou svůj noťas nemáš, ale přesto se připojit musíš. Otázka je, jestli v takové situaci chceš do svojí sítě připojovat cizí zařízení, ale i to se dá snadno řešit, např přístupem přes správcovskou stanici, do které vede jen RDP/VNC (ideálně opět autentizované s 2FA) schované za VPN.

22. 8. 2024, 08:22 editováno autorem komentáře

Ale já jsem nikde nepsal, že chci k neznámému zařízení připojovat flashku, kde bude privátní klíč. Když už bych se připojoval přes cizí zařízení, tak bych použil klíč na YubiKey nebo něco podobného.
Pro použití hesla opravdu relevantní důvod nevidím.

Protože s tím neumí.

Ono treba taky muze mit prihlasovani pres nejakej ten ldap nebo jinou podobnou vec, a tomu jaksi nejaky heslo rict musis.

Je to stejny jako u VPN, kde kdyz zacnes resit klice, tak velmi rychle skoncis na tom, ze nemas jak je na hromadu zarizeni dostat.

• Práce z cizího zařízení. V dnešní době je to hodně na ústupu, ale v době stolních počítačů to bylo celkem běžné. A upozorňuji, že cizí zařízení automaticky neznamená zavšivený počítač v internetové kavárně, může to být klidně velmi důvěryhodný počítač, jen ne náš vlastní.
• Nemožnost vynucení politiky hesel/vícefak­torového ověření. SSH nepodporuje žádnou atestaci, server nemá šanci zjistit, jestli je privátní SSH klíč vůbec šifrovaný a jak silným heslem. Jediná možnost, jak něco takového vynutit, je vydávat klíče v nějakém hardwarovém tokenu.
• Pohodlí. Heslo většinou stejně potřebujeme pro sudo nebo třeba přihlášení na konzoli. Používat stejné heslo i pro vzdálené přihlášení vypadá na první pohled nejlogičtěji. I když každodenní používání SSH klíče je jednodušší, vyžaduje to nějaké prvotní úsilí.

No možno som hlúpejší ako syn dedinského idiota a televíznej rosničky ale:

Práce z cizího zařízení.

Nebol by práve pre toto prípad lepší HW token s kľúčom?

Nemožnost vynucení politiky hesel/vícefak­torového ověření.

A u hesla ako poznáme, že ho užívateľ nemá v plaitexte nad disku?
Alebo máte na mysli nejaký iný druh autentizácie mimo hesiel?

Pohodlí.

OK toto celkom chápem. BTW nie je tak ťažké mať login či sudo na dotyk HW U2F tokenu.

> Nebol by práve pre toto prípad lepší HW token s kľúčom?

Bylo a v budoucnu to zřejmě půjde snadno s tokeny U2F. Jejich podpora ale byla zavedena v OpenSSH 8.2 a to je pro všechny možné CentOSy a old-old-stable Debiany příliš nová verze, než aby se na takové tokeny dalo spolehnout jako na univerzální klíče. Všechny ostatní typy tokenů vyžadují netriviální úsilí ke zprovoznění v cizím počítači, takže tudy cesta rozhodně nevede.

> A u hesla ako poznáme, že ho užívateľ nemá v plaitexte nad disku?

Nijak, ale to "bezpečnostním auditorům" nevadí. Oni si prostě potřebují odškrtnout, že heslo má minimálně 14 znaků, obsahuje velká písmena, malá písmena, číslice a speciální znaky a mění se každé tři měsíce. Že si pak někdo nalepí aktuální heslo na monitor už není jejich starost.

> BTW nie je tak ťažké mať login či sudo na dotyk HW U2F tokenu.

I při vzdáleném přihlášení přes SSH? To by bylo skvělé, kdyby to nějak šlo. Ale co vím, tak nejčastější řešení je SSH klíčem na uživatelský účet a následně sudo heslem na účet root.

I při vzdáleném přihlášení přes SSH?

No to asi bohužiaľ nie. Myslel som lokálnu mašinu.

23. 8. 2024, 14:00 editováno autorem komentáře

Klice jsou uz zastarale, byly nahrazeny certifikaty s omezenou platnosti.

https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/6/html/deployment_guide/sec-creating_ssh_ca_certificate_signing-keys#sec-Creating_SSH_CA_Certificate_Signing-Keys

Tak určitě. Opravdu výtečná myšlenka chorého korporátního mozku.

O certifikátech jsem psal před třinácti lety. Od té doby se toho moc nezměnilo, podpora mimo OpenSSH je prakticky neexistující (zkuste si třeba přidat SSH certifikát do GitHubu nebo Gitlabu).

Že by tedy klíče byly zastaralé, to je celkem odvážné tvrzení.

To jiste... uz vidim jak aktualizujes expirujici cert na ... mobilu, domacim desktopu, ... a jak udrzujes nalezite funkcni celou infrastrukturu kolem, vcetne pripadne revokace.

Když ne statické heslo ani flashku s keyfile ,tak co "S/Key" ? Umí to ssh(d)?

23. 8. 2024, 23:50 editováno autorem komentáře

Umí něco podobného. Přes PAM modul.
https://github.com/google/google-authenticator-libpam

Hmm, takže jde o něco jako iptables -m recent (který mj používám s kontrakcí na /24) vylepšený o to, že pracuje na aplikační úrovni a dokáže rozeznávat ty případy jako loginFail/inva­lid/user/nicNe­uděláno/atd. A že taky pošle hlášku "Teď ne bejby " místo -j DROP.

Za mě blacklisty nefungují, jsou platné jako v dnešní době inzerce v tištěném časopisu ABInzerce.

U ochran je nutné vybalancovat i druhou stranu - zhoršení komfortu pro legitimní uživatele(předejít muú
Pomáhá mít restriktivní nastavení, limity na spojení, ten recent a udělat whitelist (-j RETURN) pro stálé známe adresy. Změna portu je fake securit, ale redukuje nálož

Čekal jsem něco vestylu " sshd zjistí hodně pokusů" - reakce bude - nyní heslo napiš pozpátku nebo první znak hesla zdvoj. Není tohle náhodou interactive metoda?
Nebo (progresivní)tar­pitting

Doporučím článek https://www.root.cz/clanky/stavime-vlastni-e-mailovy-server-zakladni-nastaveni-systemu/, kde to je jemně taky naťuknuto. I když asi jen 10% článku. Lze to dovést do sekvence zašifrovaný klíč v zařízení + netriviální username, jeho heslo a potom sudo na roota opět s jiným heslem :)

23. 8. 2024, 23:35 editováno autorem komentáře

Já tu ochranu přístupu k SSHD řeším často také na úrovni firewallu.

Technika "napiš heslo pozpátku" / "zdvoj znak" zní zajímavě, ale má to svá úskalí.

* jdou jen jednoduché manipulace se znaky, při složitějších by server musel držet heslo v plaintextu a počítat nový hash
* pokud dá server vědět uživateli, tak to bude zpracovatelné i pro útočníky

Takže ve výsledku, je dobré znát jak takové útoky probíhají a namixovat si ochranné prvky podle potřeby.

99,99% běžných brute force útoků odstíní pár "jednoduchých" opatření.

A ještě jedna tajímavá metoda
pokud se poměr dostane nad nějaký daný číslo, není přece problém hodit uživatelský účet do "attack módu", kdy vezme login jenom z posledních třeba tří IP adres, odkud se uživatel přihlásil naposledy nebo x ip ktery si Zvolí