Jump to content

Linux Unified Key Setup drošība


MarisO
 Share

Recommended Posts

Vai hackeri var uzlauzt ar LUKS / cryptsetup   iešifrētu disku?

 

http://en.wikipedia.org/wiki/Linux_Unified_Key_Setup

 

Tiek lietots Linux Ubuntu server ar SSH.

 

 

Vai ļaundari var uzlauzt SSH  (ar key only login)?

 

 

ko  vēl  bez šī  jāieraksta  iekš  sshd_config?

 

PasswordAuthentication no

RSAAuthentication yes
PubkeyAuthentication yes
PermitRootLogin no
Labots - MarisO
Link to comment
Share on other sites

1. Es nezinu kā datora atmiņā aizsargā LUKS atslēgu. Varbūt nodumpojot kerneli šo atslēgu var dabūt vēsi no kerneļa dumpa dabūt ārā. Vai varbut vispār dabūt vienkārsi ārā no RAM. Kur vajag lielāku drošību tur izmanto kripto-procesorus kur atslēga ir atsevišķi no servera,nepieejama pašai OS , turklāt pazūd iekārtu par nedaudz pakustinot vai pārstartējot.

2. ssh ar atslēgu uzlauzt ir grūti ja vien nedabū tavu atslēgu bez passphrase. Ja kāds lieto atslēgu bez passphrase - tad nokopējot atslēgu urķis ir iekšā gan. SSH atslēga bez pasphrase vispār ir idiotisms , bet ļoti daudzi tā lieto SSh slinkuma pēc. Ja gribas automātiski logoties  tad darbu sākot palaižam ssh aģentu , darbu beidzot apturam. 

Es vēl authorized_keys papildinu ar from="xxx.yyy.zzz.www" kur tas ir iespējams vēl vairāk apgrūtinot dzivi potenciālajam uzbrucējam.

Labots - zeds
Link to comment
Share on other sites

uzliec un nokonfigurē paralēli fail2ban un pēc kāda laika paskaties, kas notiek... ar def. conf. : 

2015-06-08 10:36:11,174 fail2ban.actions: WARNING [ssh] Unban 43.229.52.164
2015-06-08 11:02:26,023 fail2ban.actions: WARNING [ssh] Ban 43.229.52.164
2015-06-08 11:12:26,748 fail2ban.actions: WARNING [ssh] Unban 43.229.52.164
2015-06-08 11:13:58,858 fail2ban.actions: WARNING [ssh] Ban 24.142.194.90
2015-06-08 11:18:00,150 fail2ban.actions: WARNING [ssh] Ban 43.229.52.186
2015-06-08 11:23:59,583 fail2ban.actions: WARNING [ssh] Unban 24.142.194.90
2015-06-08 11:28:00,885 fail2ban.actions: WARNING [ssh] Unban 43.229.52.186

 

Dienas laikā vairāk kā 1000 requesti sanāk. Doma vēl piekonfigurēt un banot uz ilgāku laiku nekā 10 minūtēm un uzlikt lielāku jūtību uz f5 spaidītājiem (manā gadījumā webi tiek turēti)

Labots - HTC
Link to comment
Share on other sites

Bruketajs

Neviens vēl nav aizliedzis ssh portu nomainīt uz nestandarta un būs tev miers. 

Rūterī ieliec port-knocking.

Link to comment
Share on other sites

Back Door Man

LUKS ir tik drošs cik tava passphrase. sshd iesaku pastiprināt ar tcp_wrappers, noderēs ja kāds ārpus trusted network ir nozadzis/nokopējis atslēgu, tas arī izslēgs vajadzību pēc fail2ban. katram gadījumam papēti vai sshd ir jaunākā versija un kompilēts ar "pie", "fortify" utt...

 

`#3 pēc passphrase ievadīšanas var palaist skriptu kurš pārraksta atmiņu, ja ir tik milzīga paranoja :)`

Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...