Lang leve s/key en opie als het dan toch open moet staan. :D

ssh_config of sshd_config?
ssh_config is uitgaand en we hebben het toch over anderen die willen inloggen bij ons?(staat daar overigens ook)

En iedereen logt toch altijd in op een non-privileged account m.b.v. een key en doet dan su'en, nietwaar, vanwaar de paniek?

sshd_config.

Omdat nadat is ingelogd (althans het password als werkend is doorgegeven door het botnet) ongetwijfeld een poging wordt gedaan om privilege escalation te bereiken. Soms door inloggen als root niet nodig, soms door exploits, soms doordat sudo verkeerd wordt gebruikt.

EJ

@KnightOfThePost

Klopt, evenals ssh alleen toestaan van privileged IP adressen. Niks aan de hand dus.

Sinds ik port knocking gebruik is het nog nooit zo rustig geweest: http://en.wikipedia.org/wiki/Port_knocking

De meeste zullen sudo gebruiken. Als men dan via brute-force een account heeft gekraakt heeft men ook direct root access (je moet immer je eigen wachtwoord gebruiken met sudo).

Dat zei ik al, een verkeerd geconfigureerde sudo... Je kunt sudo ook zo configureren dat je een ander wachtwoord nodig hebt. Een noodzaak m.i. als je root rechten met sudo uitdeelt.

EJ

@ EJ & SirDice:
Bedankt voor de toelichtingen.

man sudoers leert ons het volgende, eigenlijk verplichte, commando: rootpw dit zou eigenlijk per default aan moeten staan...

EJ

bij een beetje SSH config, kan je de retry, eh ,laat maar, als voor de volgende atack een ander IP gebruikt worden heeft het verhogen van de SSH inlogtijd geen zin..

Dan kun je net zo goed su gebruiken. Bijkomend voordeel op *BSD is dat alleen leden van de wheel groep su mogen uitvoeren.

Jij gebruikt sudo dus omdat je lui bent? man sudo en man su leren je de verschillen. Die zijn er. Significant. En je diskwalificeert je nu wel als security deskundige, dat begrijp je wel?

EJ

Bij mij is het een anderhalve week begonnen.

Een greep uit de aanval:

Jun 18 22:14:11 sshd[55921]: error: PAM: authentication error for illegal user grace from 81.130.192.86
Jun 18 22:16:13 sshd[55933]: error: PAM: authentication error for illegal user grant from up.upoli.edu.ni
Jun 18 22:19:58 sshd[55978]: error: PAM: authentication error for illegal user green from 83.19.20.250
Jun 18 22:20:48 sshd[55990]: error: PAM: authentication error for illegal user green from 187.5.14.1
Jun 18 22:23:10 sshd[56005]: error: PAM: authentication error for illegal user greg from 211.97.71.218
Jun 18 22:23:11 sshd[56008]: error: PAM: authentication error for illegal user greg from 213.172.54.121
Jun 18 22:26:33 sshd[56058]: error: PAM: authentication error for illegal user gregory from 196.211.66.58

Via SSHguard en Denyhosts houdt ik ze wel op afstand. Als het te gek wordt kwa spam betreft, dan scherm ik IP's wel af.
Denyhosts heeft inmiddels al 121 unieke IP's geblokkeerd.

Ja wel. Root heeft een ander wachtwoord dan een gebruiker. M.a.w. als een gebruikersaccount gekraakt wordt heeft men niet automatisch root. Uiteraard sta je niet toe dat root direct kan inloggen maar dat lijkt me duidelijk. Met rootpw vraagt sudo om het root wachtwoord i.p.v. de gebruiker z'n wachtwoord. Op een zelfde manier als "su - root" dat doet. Wat is het verschil dan?

Ubuntu? Daar waar elke gebruiker volledige sudo rechten heeft?

Als een gebruikersaccount is gekraakt welke volledige sudo rechten heeft (zoals het meestal staat) heeft een aanvaller ook direct root access. Men kan namelijk datzelfde wachtwoord gebruiken waarmee men het systeem is ingekomen.

Logging, rbac indien nodig, zie man sudo en man su.


Bzzzt denkfout. Weet niet wanneer jij voor het laatst naar ubuntu hebt gekeken, maar wat bij *BSD wheel heet, heet daar adm. Eerst jezelf orienteren voordat je onzin uitkraamt. En je roept precies dat wat ik al zei waarom sudo altijd rootpw moet hebben. Sudo is ziek en voor luie domme admins tenzij je het goed inricht.

EJ

Iemand die dat gebruikt laat zich niet naaien door een botje wat bekende usernames/passwords probeert.

Geen idee, lang geleden. Ik heb niks met Linux weet je nog? Het laatste waar ik mee heb zitten spelen kon elke gebruiker su uitvoeren. Op FreeBSD is dat zeker niet het geval (en een regelmatig terugkerend topic op forums).

Of gewoon default geen sudo installeren, zoals *bsd.

O? Want? Better be safe than sorry.
Nu niet meer dus.

root@fw:~# which sudo
/usr/bin/sudo
root@fw:~# uname -a
OpenBSD fw.local 4.7 GENERIC#0 i386

root@fw:~# pkg_info
lzo2-2.03 portable speedy lossless data compression library
openvpn-2.1.0 easy-to-use, robust, and highly configurable VPN
rsync-3.0.7 mirroring/synchronization over low bandwidth links


Kortom, je kletst. Default install.Daarnaast heb ik iets meer vertrouwen in OpenBSD (en NetBSD) dan FreeBSD. De laatste is aardig de weg kwijtgeraakt. Graag eerst orienteren voordat je mensen op een verkeerd spoor zet.

EJ

Geinig.
default install.

Ik niet.

Want?

freebsd-update fetch / install en recompile kernel, zit nog op p0 :P.

@SirDice:
Jij beweerde dat *BSD geen sudo installeerde in de default install. Dan is 1 bewijs van het tegendeel voldoende. Als je nauwkeuriger was geweest dan had je gezegd dat FreeBSD niet default sudo installeert. Verder heb je blijkbaar geen ervaring met de *BSD wereld. Ook met de diverse linux omgevingen heb je geen ervaring.

Ik kan nu niet zeggen dat dat een stevige basis is om absolute uitspraken te doen zoals jij die doet. Als je daarnaast niet weet wat voor ge-emmer er geweest is met de diverse FreeBSD versies, en met bijvoorbeeld multiprocessor ondersteuning daarin, en met de diverse poppetjes in het "bestuur" van FreeBSD dan geef je daarmee ook aan dat je kennis dienaangaande niet al te stevig is.

Enig idee waarom FreeBSD 4 nog altijd wordt gebruikt? 5, 6 en 7 blonken nu niet bepaald uit in stabiliteit...

@Anoniem 12:04: Veelzeggend he? ;)

EJ

Zowel NetBSD als FreeBSD doen het niet. Blijkbaar is er recent iets bij OpenBSD veranderd want in het verleden was sudo daar ook niet geinstalleerd.

Vreemd, nooit iets van gemerkt de afgelopen 10+ jaar.

Yep, third party software.

Err. dan mis je toch iets.

Beter kijken knul, ik draai -STABLE geen -RELEASE.

@SirDice

OpenBSD installeert sudo pas sinds 2000 of nog eerder, je bent slecht geinformeerd, maar dat heb je al eerder in deze thread laten merken. Als ik jou was zou ik mijn grote mond maar eens dicht gaan houden, tenzij je jezelf natuurlijk nog verder belachelijk wilt maken. Dat staat je vrij. Ik reageer in ieder geval niet meer.

EJ

Ach. Ik probeer nog normaal te reageren maar met een dergelijke respons gaat dat niet echt lukken. Ik heb nooit beweerd de waarheid in pacht te hebben. Indien jij er meer in leest dan is dat jouw probleem, niet het mijne.

leuk, het lijkt #hit2000 wel weer hier.

@ SirDice:

Ik heb even een bloemlezing gemaakt van foutieve dan wel onzinnige opmerkingen. Het lijkt me vrij zinloos om dan te willen discussieren. Je bent heel slecht geinformeerd.

"De meeste zullen sudo gebruiken. Als men dan via brute-force een account heeft gekraakt heeft men ook direct root access (je moet immer je eigen wachtwoord gebruiken met sudo)."

Aantoonbaar onjuist (rootpw).

"Dan kun je net zo goed su gebruiken. Bijkomend voordeel op *BSD is dat alleen leden van de wheel groep su mogen uitvoeren."

Aantoonbaar onjuist, immers su geeft veel meer rechten dan sudo hoeft te geven. Tevens is logging anders. Zie voor verdere verschillen man su en man sudo.

"Ja wel. Root heeft een ander wachtwoord dan een gebruiker. M.a.w. als een gebruikersaccount gekraakt wordt heeft men niet automatisch root. Uiteraard sta je niet toe dat root direct kan inloggen maar dat lijkt me duidelijk. Met rootpw vraagt sudo om het root wachtwoord i.p.v. de gebruiker z'n wachtwoord. Op een zelfde manier als "su - root" dat doet. Wat is het verschil dan?"

Of je bent lui en wenst niet de diverse man pages op te roepen (of mijn reactie te lezen) of je weet er echt te weinig van. Ik hoop op het eerste.

"Ubuntu? Daar waar elke gebruiker volledige sudo rechten heeft?"

Wederom volkomen onjuist.

"Als een gebruikersaccount is gekraakt welke volledige sudo rechten heeft (zoals het meestal staat) heeft een aanvaller ook direct root access. Men kan namelijk datzelfde wachtwoord gebruiken waarmee men het systeem is ingekomen."

Niet mijn reactie gezien dat de default bij sudo eigenlijk slecht is, en alleen voor luie mensen is bedoeld?

"Of gewoon default geen sudo installeren, zoals *bsd."

Dat geldt alleen maar voor de door jou genoemde FreeBSD. NetBSD weet ik niet, het is al enige tijd geleden dat ik die heb gebruikt. Maar geldt NIET voor alle BSD's en dus NIET voor *bsd. Wederom een uitspraak die onjuist dan wel onvolledig is.

Tot dusver waren eigenlijk alle reacties op zijn minst onvolledig, toch claim je in je reacties absolute zekerheid. Zie de door jou gebruikte formuleringen, zie boven. QED EOT.

EJ

SSH doe je toch altijd met RSA keypairs? Met 'PasswordAuthentication no' en 'ChallengeResponseAuthentication no' in de sshd_config?
Om binnen te komen heb je de private key nodig, waar een passphrase op zit. Als je daarna iets op het systeem wilt doen gebruik je sudo, waar weer een wachtwoord gevraagd wordt.

Iedereen? Dat zou ik toch niet durven zeggen. Kom af en toe de meest vreemde situaties tegen...

Nee, het _kan_ met RSA keypairs. Het is echt niet altijd mogelijk. Wil jij je USB stickje met de RSA key daarop in een onbekende computer stoppen en dan vervolgens de sleutel van je private key typen? Dank je, ik niet.

OTP is een betere oplossing voor dit soort situaties.

EJ