Re: Unix Benutzer auslesen

To: debian-user-german@lists.debian.org
Subject: Re: Unix Benutzer auslesen
From: Juergen Christoffel <jc.debian15@unser.net>
Date: Mon, 28 Dec 2015 21:04:06 +0100
Message-id: <[🔎] 20151228200406.GA9270@unser.net>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 5681130C.7050301@gmail.com>
References: <[🔎] 5681130C.7050301@gmail.com>

On Mon, Dec 28, 2015 at 11:46:36AM +0100, Markus Müller wrote:


ist es möglich, bestehende Unix-Accounts von einem Server im Internet
auszulesen ?


Hi Markus,

da wird es Möglichkeiten geben, nicht zuletzt "Social Engineering" wie
schon bemerkt wurde. Accountnamen zu verbergen fällt auch eher unter
"security by obscurity" ...

[...]
Kann man den/die Usernamen auslesen um brute-force attacken zu
iniziieren zu können ?


Die User meiner Server darfst Du gerne wissen. Einer davon heisst "root".
Du wirst trotzdem nicht viel Erfolg mit "brute force" haben. Meine Freunde
sind:

a) SSH-Keys

Passwort-basierten Zugriff gibt's bei mir nicht. Das praktische an SSH-Keys
ist, dass man sie (d.h. mehrere) auf einem USB-Sticks mitnehmen kann. Und
bei Bedarf (z.B. von einem Kunden aus) mit einem vorher erzeugten
temporären Key auf Maschinen kommt. Man also nicht seinen Hauptkey braucht,
siehe auch "ssh -i <identity-file>". Den temporären Key wirft man dann
wieder weg. Und man kann Keys auf bestimmte Clients einschränken, siehe
z.B. die Option "from=..." für ~/.ssh/authorized_keys in der Manpage zu
sshd.

Du kannst auch für einen Key genauer festlegen, was er darf und was nicht:
Forwarding? Tunneling? Nur ein bestimmtes Kommando statt einer Shell?

b) /etc/hosts.{allow,deny}

Also der TCP-Wrapper. Damit begrenze ich die Netze, aus denen man überhaupt
mittels SSH auf meine Maschinen zugreifen kann. Aus den Netzen meines
Arbeitgebers und den Netzen meines Providers zum Beispiel. Brasilianer,
Chinesen, Koreaner (oder wer gerade der Unhold de jour ist) kommen gar
nicht dazu, mit meinem sshd zu reden. Siehe auch [*].

c) iptables

Damit fange ich ab, was der TCP-Wrapper nicht sieht (dauerhaft laufende
Services, auch die auf Netzbereiche begrenzen) und was durch b) hindurch
kommt. Nicht zuletzt kann ich damit "brute force" mittels "limits" auf
einen Versuch pro Sekunde reduzieren.

	--jc

P.S. Man soll auch mittels "auth optional pam_faildelay.so delay=5000000"
in /etc/pam.d/sshd dafür sorgen können, dass die Antwort "wrong passphrase"
um z.B. 5 Sekunden verzögert abgeliefert wird. Hat schon mal jemand so
etwas versucht?

[*]
http://www.admin-magazine.comÅrticles/Secure-Your-Server-with-TCP-Wrappers
beschreibt, was man alles machen kann.

--
 A great many of today's security technologies are "secure" only because
 no-one has ever bothered attacking them. -- Peter Gutmann

Reply to:

References:
- Unix Benutzer auslesen
  - From: Markus Müller <120.9921fbsd@gmail.com>

Prev by Date: Re: Unix Benutzer auslesen
Next by Date: WLAN Hardware gesucht
Previous by thread: Re: Unix Benutzer auslesen
Next by thread: Re: Unix Benutzer auslesen
Index(es):
- Date
- Thread