Hi, On Thu, 15 Sep 2005, Max Trense wrote: > Am Donnerstag, 15. September 2005 10:45 schrieb andreas: > > Warum das? Es macht IMHO keinen Unterschied, ob ein Angreifer die > Benutzersitzung kompromitieren kann, die ich verwende um via su root zu > werden oder ob er gleich die Sitzung als root angreift. Wichtig ist, dass er > keines von beidem bekommt. Und das geht nur ??ber regelm????ige Updates und > sichere Passw??rter.
Soweit ich das verstanden habe macht der sshd beim loginversuch von root intern dicht somit wuerde es das system schonen! Ich blaetter nachher nochmal den soure durch. > Bei Updates ??brigens eine vielgeh??rte und viel??berh??rte Warnung, nach dem > Neustart des ssh-Servers eine weitere Verbindung aufzubauen, denn die > aktuelle Verbindung wird noch ??ber die alte ssh-Binary aufrechterhalten. Nur > nach einem erneuten Anmelden kann man sicher sein, dass der neu aufgespielte > ssh-Server auch wirklich das tut, was er soll ;-) darum starte ich den immer nach compilen mit ./sshd -p 12345 (JA ich compile den meist selbst :-)) > > Clever wuerde es noch sein das port zu verlegen, ich lasse SSH meist auf > > port 443 laufen, somit kom mich auch imemr druch proxys durch wenn ich mal > > unterwegs bin (mit putty echt genial). > > Das funktioniert? Jups das klappt zu 99% super! > > Ganz clever ist es allerdings (zetzt vorraus das du weisst was du tust): > > SSH auf port xxx und port 22 mit, z.b. portsenetry zu belegebn oder ganz > > einfach ein script schreiben das auf port 22 listen ist und bei zugriff ` > > route add xxx.xxx.xxx.xxx gw 127.0.0.1` executen. dann ist ruhe :-) > > Das ist aber hochgradig DoS-anf??llig. Kein *nix-??hnlicher Kernel kann IMHO > ohne Modifikation beliebig gro??e Routentabellen verarbeiten. Das hei??t, > jemand der es darauf anlegt, hat mit sehr geringem Aufwand ziemlich schnell > Dein System zumindest viel langsamer gemacht. Legt es der angreifer drauf an, macht er den system so oder so platt! der angreifer braucht aber genug ip's! mal nen test: for x in ` seq 2 222` ; do route add -host 10.10.1.$x gw 127.0.0.1; done das habe ich nun mit 10.10.1. - 10.10.10. durchlaufen lassen. netstat -rn|wc -l wirft 2215 raus! wenn der angreifer 2215 rechner hat, oder es drauf angelgt sich ueber 2000 mal neu zu connecten macht der dich auch anders platt! zumal du ja jede stunde die table laeschen kannst. > > Auch clever ist ein script zu hacken welches sich das logfile ansieht, und > > beim falschen login die IP blockt. > > Das gibt es aber schon (fast) fertig. Da sollte man sich mal diverse IDS > anschauen. macht aber nix anderes als die route setzen (soweit ich weiss) Gruss -- ICQ 304 760 315
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
