Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Thu, 18 Dec 2008 10:51:28 +0300
Message-id: <[🔎] 20081218075128.GA21932@wagner.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 200812180108.20941.pechnikov@sandy.ru>
References: <[🔎] 20081217145643.6411cbbe@razatustra.chindi.su> <[🔎] 200812172348.28384.pechnikov@sandy.ru> <[🔎] 20081217205850.GA8849@wagner.pp.ru> <[🔎] 200812180108.20941.pechnikov@sandy.ru>

On 2008.12.18 at 01:08:20 +0300, Alexey Pechnikov wrote:

> Hello!
> 
> В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
> > On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
> > > Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
> > > методом подбора/кражи пароля?
> >
> > Помнится, какие-то секьюрити апдейты у openssh были. Не считая
> > последнего, связанного с отрыванием случайности от openssl.
> 
> Так секьюрити апдейты должны быть как раз превентивной мерой. 

Race condititon получается. 

Что произойдет быстрее - багу обнаружат "хорошие парни", исправят,
выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат
"плохие парни" и проэксплойтят?

Шансы на первое  велики, но не 100%

> Раз они выходят раньше, чем уязвимость 
> начинают эксплуатировать, это лучший из _практически_ достижимых случаев 
>(не считая идеального 
> случая отсуствия уязвимостей - как багов реализации, так и ошибок алгоритмических).

Вообще говоря, случай практически достижимый. Технологии software
proving существует. И, например, французы там, где пару миллионов
потратить на это не жалко, их применяют. В системе управления парижским
метро, или в ракетах Arian (после того, как оно однажды гробанулось
из-за софтверного бага).

> > К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности
> > (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет.
> 
> Да, но openssh это самое простое из обсуждаемых решений...

Именно поэтому я использую его.

> > Надежности добавляет двухфакторная аутентификация. "что имею"+"что
> > знаю". Даже если "что знаю" это просто пассфраза к секретному ключу в
> > pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ.
> >
> > Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на
> > мобильных устройствах.  Чтобы при отсутствии юзера за клавиатурой
> > ключики из памяти вычищались.
> 
> Вот насчет этого большие сомнения - меня, собственно, как раз это 
> соображение останавливает от 
> использования предлагаемого вами варианта. Да и присутствие юзера 
> не гарантирует безопасности, 
> все-таки лучше пароль не кэшировать. А так получается - сертификат на 
> диске, пароль в памяти 
> компьютера... Лучше уж просто пароль в памяти _пользователя_.

Немножко не так. В памяти при работе ssh-agent бывает незашифрованный
ключ.

Но зато:
1. Это удобно. Это все хосты, на которые я хожу из текущей сессии, что
по ssh, что по imap  с ssh-tunneling, что по cvs/svn меня узнают сразу и
дополнительной аутентификации не требуют.

2. На всех остальных машинах, куда я хожу и должен пойти куда-нибудь
дальше, моих аутентификационных credentials НЕТ. Даже кейлоггером
(ttysnoop-ом) мой пароль не перехватить - я его там не ввожу. Агент у
меня здесь, и оттуда прибегают только запросы к нему. А это -
криптография с открытым ключом.  Соответственно,
можно пытаться эксплойтить мой ключ в течение моей сессии на удаленную
машину. Но прикопать его там, чтобы проэксплойтить в мое отсутствие - не
получится.

Reply to:

Follow-Ups:
- Re: sudo ws root
  - From: Alexey Pechnikov <pechnikov@sandy.ru>

References:
- Re: sudo ws root
  - From: "Denis B. Afonin" <chindi@chindi.su>
- Re: sudo ws root
  - From: Alexey Pechnikov <pechnikov@sandy.ru>
- Re: sudo ws root
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: sudo ws root
  - From: Alexey Pechnikov <pechnikov@sandy.ru>

Prev by Date: Какой правильный лазерный принтер?
Next by Date: Re: sudo ws root
Previous by thread: Re: sudo ws root
Next by thread: Re: sudo ws root
Index(es):
- Date
- Thread