Door Anoniem: Door Anoniem: Door Anoniem: Door Anoniem:
dan kijk gerust in meer detail naar PrivX van ssh.com en wat een jump host / bastion host kan doen voor je klanten. beloof je me dan eerst eens een dagje te kijken en denken hierover voordat je weer reageert vol ongeloof alsof de goedbedoelde adviezen onzin zijn?
Ik weet niet waar ik dit verwijt aan te danken heb, maar mijn vraag is "kun je OpenSSH hardenen in de zin dat het aanvalsoppervlak verkleind wordt door inkomende connecties die niet aan de config voldoen zo snel mogelijk te rejecten, gegeven de situatie dat een SSH server met pubkey login functioneel nodig is".
Allerlei zijpaden daar had ik niet om gevraagd dus als je dan die adviezen geeft dan moet je niet raar kijken als die genegeerd worden.
Er zijn - zoals gebruikelijk op fora - een hoop slechte lezers die na de eerste alinea met hun stokpaardje aan komen zetten ook al voldoet tot totaal niet aan je vraag.
En daarbij ook niet uitleggen je eisen niet relevant zijn of de voordelen van hun idee groter zijn dan het niet voldoen aan jouw eis;
Je kunt best een niet-gevraagde 'andere oplossing' aandragen, maar het is respectvol om dan te bespreken _waarom of wanneer_ dat toch beter is dan precies waar de vragensteller om vraagt. Het laat tenminste zien dat iemand het probleem snapt en _dan_ alsnog een alternatief voorstelt, en hoe dat beter is dan de oorspronkelijke wens.
Het bewijst ook dat de voorsteller misschien wel weet waar ie over praat, en niet alleen een fanboy is van een project wat niet het antwoord is op de concrete vraag . (ook al is het voor andere situaties misschien wel erg prima).
Een setje linken dumpen die allemaal _niet_ of zelfs het tegenovergestelde zijn van een 'hardened minimale sshd' - alle kenmerken van mensen die de vraag en reden niet snappen (en waarschijnlijk niet gelezen hebben), maar een drang tot posten hebben.
Ik ben een andere poster dan jij - en ik heb met gestrekt been een paar van de "adviezen" die jouw concrete vraag negeren maar er wel op reageren wat repliek gegeven . Ik denk dat een paar van de jumphost-url posters jouw en mijn postings door elkaar halen.
M.i. duidelijk genoeg voor wie een posting tot het eind kan lezen, maar dat is niet iedereen.
er zijn ook mensen die lezen wel, die inzien dat het gevraagde niet letterlijk kan en je dus een alternatieve [vaak betere] oplossing bieden [die wel degelijk in de 'zakelijke omgeving' gebruikt worden en 'schalen'] maar ja er zijn dan ook weer net zo goed mensen die dat dan niet snappen maar wel heel erg de drang hebben om dan toch [niet zo constructief] te posten.... doe er mee wat je wilt maar :).
Mooi verhaal, maar die mensen zijn - als ze niks toelichten - totaal niet te onderscheiden van de genoemde fanboys die alleen hun hamer kennen en dus elke vraag als een spijker zien.
En ik stel dat mijn postings wel degelijk _ook_ constructief zijn - namelijk toelichten op welke manier dergelijke opties mismatchen met de vraag .
Om nog maar 's een olifant in de kamer te benoemen : 'enterprise gebruikt' wil niet zeggen "maximaal veilig" , het wil meestal zeggen "heeft veel functies die grootschalig gebruik mogelijk maken" . En , hopelijk , een solide implementatie.
Jammer maar helaas - sommige keuzes die erg veel veiligheid bieden schalen totaal niet .
Een whitelist packet filter dat netwerk toegang beperkt tot 3 vaste IP adressen van 3 beheerders _is_ een heel erg goede veiligheids maatregel.
Beter dan 500 MB code die een waanzinnig complex protocol (TLS) implementeert met een backend database koppeling om 3000 certificaten user-certificaten te beheren. Maar dat schaalt wel, en persoonlijke whitelisting niet.
In crypto land - de meest theoretisch perfecte oplossing (one time pad) heeft waanzinnig veel nadelen in gebruik.
Next best thing - symmetrische encryptie - heeft ook enorm ongemak met sleutelbeheer _op schaal_ en dus "doen we het" met public key encryptie erbij waarvan de wiskundige veiligheid elke decennium een sprongetje omlaag maakt, de implementatie een grote serie valkuilen heeft achtergelaten en de performance is ook naadje .
_Alleen_ de gebruikseigenschappen die public key encryptie kan bieden zijn zo overweldigend dat het om die reden een standaard component is in bijna ieder gebruik van cryptografie.
heel goed bedoeld advies: kijk naar privX en of teleport en echt waar, jump hosts worden heel veel gebruikt [ook op schaal en in de zakelijke wereld] om precies datgene te bereiken waar de originele poster nu juist om vroeg...
Een willekeurige enkele sshd server _is_ een (vorm van) een jumphost .
Wat die originele poster vroeg was (wil dat nou nog niet indalen ?) in zekere zin _beter_ dan dat , namelijk een meer-secure-dan-normaal sshd .
Het is misschien een kleine zorg in de situatie van sshd, maar zijn punt dat je wilt/verwacht dat code paden die niet gebruikt worden ook helemaal niet doorlopen worden _is_ terecht.
Elk code pad dat doorlopen wordt is een extra risico dat een bug erin ook bereikbaar/exploitable is.
Dat inzicht is al ongeveer drie decennia doorgesijpeld (na veel schade en schande) bij een hoop bekende Internet services.
sendmail was het klassieke voorbeeld van één brok code dat "alles" deed - mail aanpakken, adressen rewriten, mail bij de gebruiker afleveren, mail verzenden etc etc. De toenmalige 'nieuwe generatie' - qmail, postfix splitste al die functies op in aparte daemons die via strak gedefinieerde APIs met elkaar praten .
Idem voor bind (DNS)- authoritief, recursion, dynamic updates, alles in een. De nieuwe generaties DNS software zijn wel aparte programma's (nsd/unbound , powerdns/powerdns recursor etc) voor verschillende functies.
En dan vraagt iemand - vanuit dezelfde filosofie - kan ik een sshd krijgen die geen password-code-pad ingaat als ik dat uitgezet heb, en ben ik blijkbaar de enige die snapt waarom (/dat) iemand dat vraagt, en heb je mensen die gewoon roepen dat ie beter af met de ene of de andere full-featured jumphost oplossing. Z'n hele vraag was nu juist NIET full-featured maar 'minimaal featured'.
Echt - laat 's zien dat je een vraag en achtergrond snapt voordat je een totaal andere oplossing aanbeveelt . Het geeft een beetje vertrouwen dat je aanbeveling ook wat waard is.
Bedenk dat - in tegenstelling tot waarschijnlijk je (werk/studie) situatie - je hier als anoniem _geen_ historische reputatie, functietitel, of bewezen kwaliteit hebt. Je staat of valt alleen met wat je schrijft - en niet schrijft.