Názory k článku Postřehy z bezpečnosti: linuxový trojan spouští proxy server

V zásadě nic proti těmto opatřením, minimálně pro uživatele s omezeným oprávněním je to way-to-go. Pro plné adminy – ti si stejně mohou log přespat.

Každopádně neříkám, že je špatně zakázat roota. Spíš jsem chtěl upozornit, že rada „zakažte roota“ bez dalších detailů může snadno vést k opatření, která bezpečnost podkopávají. Neříkám, že to nelze udělat dobře. Ale bez dalšího vysvětlení to u neznalých adminů (na které tato rada zřejmě míří) napáchá spíše více škody než užitku.

Pokud vám vadí pokusy o přihlášení v logu, tak to nelogujte. Tím, že zakážete přihlášení na roota, ty pokusy nepřestanou. Měnit kvůli podrobnosti logování konfiguraci aplikace je dost zvláštní postup a s auditem to nemá nic společného.

Ad 2 – klíč leží na počítači zašifrovaný heslem. A dokonce ani nemusí ležet na počítači, může být třeba na čipové kartě.

Nevím, zda píšete o oprávněném uživateli nebo útočníkovi.

Oprávněný uživatel musí znát heslo ke klíči. Pokud ho má někde zapsané, musí ho hledat. Nevidím v tom rozdíl oproti situaci, kdy si musí pamatovat nebo hledat heslo k uživatelskému účtu. Nicméně podstatný rozdíl je při používání – klíč načte do SSH agenta a heslo zadá jednou při načtení klíče. Když se přihlašuje heslem, musí zadávat heslo při každém připojení znova.

Pokud jste to myslel z hlediska útočníka – ano, pokud útočník získá soubor s klíčem, může se pokusit uhodnout heslo ke klíči. Úplně stejně, jako by hádal uživatelské heslo. Vymyslí heslo, dešifruje jím soubor a zkusí se připojit k serveru aby vyzkoušel, zda výsledek dešifrování je platný klíč nebo náhodné smetí. A tak může pokračovat stejně dlouho, jako kdyby zkoušel heslo uživatele. Drobný rozdíl je v tom, že ho malinko zdržuje to dešifrování, ale to nestojí za řeč.

Čipové karty moc časté nejsou, ale je to způsob, jak zvýšit bezpečnost. Když se přihlašujete heslem, máte smůlu.

Mimochodem, rozdíl oproti přihlašování heslem je jenom v tom ne moc pravděpodobném případě, kdy útočník může získat soubor s klíčem, ale nedokáže vám na systému nic změnit. Pokud může na disk i zapisovat, změní vám používaného SSH klienta, a heslo k účtu nebo ke klíči mu prozradíte sám.

Přihlašování klíčem vs. přihlašování heslem: Ono v obou případech záleží. Kloním se ale k tomu, že se stejným úsilím bude bezpečnější spíše klíč (volitelně šifrovaný heslem).

* S heslem je dost kritické password reuse. S klíčem méně.
* Jak bylo zmíněno, pokud se útočník dostane k počítači, může zksit i různě poslouchat heslo, alias ssh apod. Ano, přes některé zranitelnosti (například path traversal) může přečíst soubor, ale už ne Přihlašování klíčem vs. přihlašování heslem: Ono v obou případech záleží. Kloním se ale k tomu, že se stejným úsilím bude bezpečnější spíše klíč (volitelně šifrovaný heslem).

* S heslem je dost kritické password reuse. S klíčem méně.
* Jak bylo zmíněno, pokud se útočník dostane k počítači, může zksit i různě poslouchat heslo, alias ssh apod. Ano, přes některé zranitelnosti (například path traversal) může přečíst soubor, ale už ne Přihlašování klíčem vs. přihlašování heslem: Ono v obou případech záleží. Kloním se ale k tomu, že se stejným úsilím bude bezpečnější spíše klíč (volitelně šifrovaný heslem).

* S heslem je dost kritické password reuse. S klíčem méně.
* Jak bylo zmíněno, pokud se útočník dostane k počítači, může zksit i různě poslouchat heslo, alias ssh apod. Ano, přes některé zranitelnosti (například path traversal) může přečíst soubor, ale už ne provádět komplikovanější útoky.
* Heslo ke klíči se v případě SSH agenta nezadává tak často. To podpoří použití kvalitnějšího hesla.
* Pokud se útočník dostane do k souboru s klíčem, může útočit na jeho heslo offline, beze stop na serveru. Ale prvně se k tomu souboru musí dostat, což je dost zásadní podmínka. A taky to heslo musí být dostatečně slabé.
* Bez souboru s klíčem je jeho bruteforce mimo realitu. U hesel záleží.

„Administrátorům Linuxu se doporučuje zcela zakázat přístup na uživatele root skrz SSH“

Takovéto polovičaté rady pak vedou k tomu, že mnozí používají sudo s heslem přes SSH. Problém je v tom, že zadávání hesla (nebo jakéhokoli jiného textu) přes SSH na klávesnici je náchylné na timing attack. (Ironií je, že problém se netýká samotné autentizace SSH heslem, kde se pošle celý text najednou.) Ve výsledku hádám, že aspoň polovina lidí poslouchajích tuto dobře míněnou radu si zhorší zabezpečení.

* Když sudo přes SSH, tak bez hesla. Stejně to psaní hesla dává spíše falešný pocit bezpečí.
* Je užitečné používat SSH klíče a zakázat autentizaci heslem. Případně aspoň použít silné a unikátní heslo.
* Root sám o sobě není problém. Problém nastává v kombinaci se slabým heslem apod. Pokud ale roota potřebujeme, zákazem to ale nevyřešíme. Naopak, jednoduchá rada může napáchat více škody než užitku.

Popravde tomu prilis nerozumim. Sice chapu navrh, aby root zustal otevreny pouze pres klice (ackoliv vsechny dosavadni navody root zavrhuji), ale kde je presne problem pri 'su' nebo sudo? Na wiki popisuji zjisteni priv. klice serveru pri SSL komunikaci. Kde a co muze utocni merit pri pouziti su pres ssh?

Sudo s heslem většinou oproti sudo bez hesla přidává akorát falešný pocit bezpečí. Pokud ale útočník může např přepsat .bashrc (.zshrc, …) nebo sledovat stisky v jiné aplikaci, moc si nepomůžete.

A pokud to posíláte přes SSH, tak naopak ještě vyzradíte trochu informací o hesle, kterým se útočník může následně přihlásit na SSH a následně jej použít v sudo.

> Na wiki popisuji zjisteni priv. klice serveru pri SSL komunikaci.

Tomu trochu nerozumím, jak s tím souvisí SSL?

> Kde a co muze utocni merit pri pouziti su pres ssh?

Pokud zadám heslo, útočník může měřit prodlevy mezi stisky kláves. Což je zajímavější informace, než se může na první pohled zdát. Když do Google zadám „typing timing attack“, hned první odkaz je o SSH. ☺

Pokud použijeme standardní autentizaci heslem na SSH, tak AFAIK se heslo pošle vcelku. Problém ale je, pokud použijeme třeba su nebo sudo s heslem. Tam z pohledu SSH jde o stisky kláves, takže SSH pošle jednotlivé klávesy. SSH nemá tušení, že jde o heslo.

Je tu ještě možnost povolit roota jen z vybraných IP adres. Na serverech s veřejnou IP je zabezpečení roota pouze heslem, i když třeba silným, BMO nedostatečné. Pokud je třeba používat sudo bez hesla, potom doporučuji zakázat tomuto uživateli přímé přihlášení přes SSH. Přihlásit se jiným uživatelem a pomocí su a dalšího hesla se přepnout na tohoto uživatele.
Takovéto dvojstupňové přihlášení používáme i pro roota. Uživatel, přes kterého se přihlašujeme, a root musí mít, samozřejmě, rozdílná hesla.
Podrobněji popisuji problematiku v 1. kapitole ebooku Zabezpečte Linux server v 10 krocích. Stáhujte třeba z https://it-blog.cz/nova-verze-ebooku-zabezpecte-linux-server-v-10-krocich/

To je ale kroků, a naprosto zbytečných…

1. Pokud se někdo dostane k tomu prvnímu uživateli, má z velké části vyhráno – může zkoušet triky typu alias su nebo exploity pro local privilege escalation.
2. Ten SSH uživatel bude asi pro všechny účty stejný. Pokud ne, tak stejně lze libovolný SSH uživatel použít pro následné su na libovolný účet.
3. Druhý uživatel má opět problém s tím, že heslo posílá po paketech – lze tedy z rytmu komunikace zjistit rytmus kláves, a odtud heslo hádat.

Ono by se s větším či menším úsilím dalo řešit libovolný z těchto problémů – ale stojí to za to? Když obě hesla sřetězím dohromady, a použiju to na SSH, tak:

1. Vyřeším všechny výše uvedené problémy.
2. Útočník musí lousknout obě hesla najednou, ne prvně jedno a pak druhé. (Dejme tomu, že jedno heslo louskne s úsilím 2^n. Tímto mu z 2*2^n = 2^(n+1) uděláme 2^(2n), což je dost rozdíl.)
3. Je to mnohem méně error-prone.
4. Je to mnohem pohodlnější.

Čímž jsem nechtěl odporovat omezení podle IP. To ještě dává tak nějak smysl.

Ještě bych k těm pochybným krokům přidal „když má veřejnou IP“. To, že počítač nemá veřejnou IP adresu, nevypovídá z hlediska bezpečnosti vůbec o ničem – je dostupný ze všech ostatních počítačů ve stejné síti a kterýkoli z nich může zprostředkovat komunikaci s celým internetem. Podstatné je to, zda je ten počítač v chráněné síti a zda ostatní zařízení v téže síti jsou důvěryhodná – a to s veřejnou či privátní IP adresou nemá nic společného.

Ad 1) Pokud je napaden lokální účet, tak útočník vyhráno rozhodně nemá. Nemá moc času do doby, než bude kompromitace odhalena, pokud se tedy bavíme o profesionální správě serveru. Nejpozději do 48 hodin by u nás bylo napadení neprivilegovaného účtu odhaleno a udělána protiopatření. Činnost těchto uživatelů je, přirozeně, monitorována.
Ad 2) Nebude. Proč by měl být?
Ad 3) No, to asi v praxi moc fungovat nebude. Pokud vím, tyto možnosti popisovaly jen teoretické studie. Ještě jsem nečetl, že touto metodou by někdo úspěšně napadl linuxový server. I kdyby z časování paketů bylo možno reálný rytmus zadávání hesla vyčíst, různých vlivů na jitter spojení je tolik, že to je v praxi na nic. Už jen proto, že v rámci přihlašování tam lítá násobně víc paketů, než by odpovídalo zadání hesla a přihlašovacího jména, které BTW útočník ani nemusí znát.

Ad Zřetězení délky hesel)
První obrannou linií je, že útočník nezná přihlašovací jméno. Pokud chcete heslo roota zdvojnásobit, třeba i na více, než 20 znaků, budou vznikat překlepy a zapomínání hesla. Bude muset být ukládáno. Z úložiště může být získáno, případně vyzrazeno, třeba i úmyslně. Při dvoustupňovém přihlašování je heslo roota samo o sobě k ničemu. Muselo by být získán i přístup přístupového uživatele. A pokud je použit při útoku současně se superuživatelkým heslem tento účet, je jasné, kdo je za útok zodpovědný, že?
Uložení uživatelských hesel striktně oddělujeme od hesel superuživatelských, aby jejich současné vyzrazení bylo nepravděpodobné.

Spíš je otázka, proč se nepohodlně přihlašovat heslem, když se lze pohodlně a bezpečněji přihlašovat klíčem.