[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Black-/Whitlist für den ssh deamon

On Thu, 03 Oct 2002 20:51:05 +0200, Guido Hennecke wrote:

Hallo Guido, Hallo *,

> Klar, weil er bei mir nicht direkt als User root auf das System kommt,
> hat er mehr Aufwand und Probleme, root zu werden, wohingegen er mit dem
> selben Weg bei dir _sofort_ root ist.

Nur unter welchen Bedingungen kann es dazu kommen? Du ignorierst die
Folgen aus dem gefallenen account guido und vernachlässigst die    
zusätzlichen Angriffsmöglichkeiten durch den 2. account.

Nebenbei verdrängst du nach wie vor die Tatsache, daß es keine
Möglichkeit gibt, von einem kompromittierten account aus root zu werden,
ohne den root account ebenfalls zu kompromittieren. Daraus folgt
unmittelbar, daß alle accounts, die du auf dem Weg zu einem root account
zwischenschaltest, genauso wichtig wie der root account selbst sind. Du
kannst also bei einer Risikoanalyse diese "Zwischen-Accounts" als 
zusätzliche root accounts betrachten.

Dein account "guido" ist somit in deinem Szenarion nicht irgendein 
popeliger user account, sonder ein account, von dem aus jemand 
regelmäßig root wird. Das ist ein himmelweiter Unterschied.


Vielleicht hilft dir folgende Erweiterung deines "Sicherheitsmodells" auf
die Sprünge:

Nach deinem Modell bist du noch sicherer, wenn du statt
"ssh guido@host; su root" folgendes machst:
"ssh user1@host; su user2; su user3; ... ; su userN; su guido; su root"
(mit alle userX paarweise verschieden)

Du würdest also z.B. 1000 Dummy-Nutzer anlegen und nach dem login als
user1 per ssh immer 1000 mal su (inklusive "su guido") auf diese Nutzer
machen bevor du letzlich root wirst. Nach deiner Theorie hätte es der 
Angreifer bei diesem System dann extrem schwer. Er müßte ja erstmal 
1000 Nutzerpassworte knacken um letzlich das Rootpasswort zu bekommen 
und zu benutzen.

Das ist *dein* System, nur mehrmals hintereinandergeschaltet. Bist du noch
immer von dessen Vorteilhaftigkeit überzeugt?  Erkennst du nicht
vielleicht doch an, daß dem Angreifer das Knacken eines einzigen der
1001 Useraccounts ausreichen würde, um root zu werden? Der Angreifer 
kann ab dem gehackten account alle deine Passworteingaben für die 
nachfolgenden su in der Kette bis letzlich zum "su root" abhören und 
hat sein Ziel erreicht.
Du hast also durch die 1000 zusätzlichen accounts lediglich massenhaft
neue Angriffspunkte geschaffen. Gewonnen hast du gar nichts.

Siehst du jetz, wo der Haken in deinem System liegt? 

> Deine Aussage stimmt also schon deswegen nicht, weil er bei mir nicht
> root oder guido werden kann, sondern erstmal nur guido.

Klasse Begründung. Du versuchst "guido oder root" zu widerlegen, indem du
"guido" behauptest. Aussagenlogik ist scheinbar out.

  Reinhard
Reply to: