Re: Black-/Whitlist für den ssh deamon

To: debian-user-german@lists.debian.org
Subject: Re: Black-/Whitlist für den ssh deamon
From: Guido Hennecke <debian-user-german@debian.dyndns.org>
Date: Thu, 3 Oct 2002 15:24:12 +0200
Message-id: <[🔎] E17x5xd-00089J-00@debian.dyndns.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 200210021431.54281@ellinger.de>
References: <200209302346.54877@meindummerrechner.oder> <[🔎] 200210012018.56688@ellinger.de> <[🔎] E17wiND-0007xZ-00@debian.dyndns.org> <[🔎] 200210021431.54281@ellinger.de>

Hallo Rainer,

At 03.10.2002, Rainer Ellinger wrote:
> Guido Hennecke schrieb:
> > > > Ah, Du moechtest root Login via ssh?
> > > Ja, wie sonst? SSH als User um sich dann dem weiten Feld der
> > Welche Gefahren sollen denn da hoeher sein, als wenn man normaler
> > User ist? Und komme bitte nicht mit irgendwelchen weit hergeholten
> > und an den Haaren herbeigezogenen Beispielen, die an sich nur ein
> Jedes Programm, dass der User verwendet hat die Möglichkeit eine Datei 
> ~/bin/su anzulegen oder entsprechende Aliase ins Shell-Profil zu 
> mogeln. Du kannst von Glück reden, dass in Debian ~/bin erst aktiviert 
> ist, nachdem der User händisch eingegriffen hat. Bei anderen Distris 
> ist der Pfad für ~/bin beim nächsten Login von alleine da, sobald ein 
> ~/bin existiert.

Das gilt fuer root ebenso. Ich sehe den Unterschied nicht.

Ein anderer Systemuser (root ausgenommen) kann mir sowas auch nicht
unterschieben und wenn die Programme auf meinem System bereits
kompromitiert sind, hat root das selbe Problem.

Abgesehen davon gibt es nicht nur eine PATH Variable, die dazu notwendig
ist, sondern auch noch eine Reihenfolge.

> Auf diese Weise kannst Du leicht ein modifiziertes su unterschieben, 
> das das Root-Passwort zum Mutterschiff schickt und selbst Experten 
> raffen es vermutlich erst mal nicht. 

Siehe oben.

> Bei Sicherheitsthemen gibt es ein paar generelle Grundprinzipien. Eines 
> davon lautet beispielsweise "Sicherheit ist immer nur so gut, wie das 
> schwächste Glied der Kette".

Du, ich bin schon ein paar Jahre in dem Job.

> Daraus folgend wird beim Entwurf sicherer Konzepte zuerst immer nach
> dem gleichen Prinzip verfahren: die Zahl der beteiligten Komponenten
> auf das geringst mögliche Minimum zu reduzieren.

Ack.

> Wenn sich Root ausschliesslich über SSH oder die lokale physikalische 
> Konsole einloggt, ist (Programme mit suid jetzt mal aussen vor 
> gelassen) die Situation sehr übersichtlich und kontrollierbar.

Ein notwendiges su macht die Sache nicht wirklich unuebersichtlicher
oder gar unkontrolloierbarer.

> > Zu den Argumenten kannst Du dir mal Gedanken machen, warum es
> Ich soll für Dich denken, weil Du es nicht kannst? Formuliere bitte so, 
> dass man verstehen kann, was Du sagen möchtest. 

Diskutierst Du immer so?

> > inzwischen UsePrivilegeSeparation gibt und was dir das noch bringt,
> > wenn Du root login ueber shh erlaubst.
> Du bist jetzt also doch meiner Ansicht, dass root-Login über SSH 
> sinnvoll ist?

Ich kann mir nicht erklaeren, wie Du anhand des obigen Absatzes auf
diese Idee kommst.

> Wobei nicht klar ist, was PrivilegeSeparation mit Root-Login zu tun 
> haben soll?

Ein ps aux kann dir das erklaeren.

> Nur nebenbei: Root-Login per PW ist mittlerweile die
> Standardeinstellung in Debian. 

Und deswegen ist das auch sicher, gell?

Guido

Reply to:

References:
- Re: Black-/Whitlist für den ssh deamon
  - From: Rainer Ellinger <rainer@ellinger.de>
- Re: Black-/Whitlist für den ssh deamon
  - From: Guido Hennecke <debian-user-german@debian.dyndns.org>
- Re: Black-/Whitlist für den ssh deamon
  - From: Rainer Ellinger <rainer@ellinger.de>

Prev by Date: Re: Black-/Whitlist für den ssh deamon
Next by Date: Re: Problem mit X gelöst; habe aber Problem Gnome zu starten
Previous by thread: Re: Black-/Whitlist für den ssh deamon
Next by thread: Re: Black-/Whitlist für den ssh deamon
Index(es):
- Date
- Thread