SSH sempre bucabile.. alternative?

[Gnomix] · 08-10-2003, 22:22

Salve a tutti,
come tutti ben sappiamo ultimamente l'SSH soffre di gravi vulnerabilità...

ora vi chiedo non esiste un programma alternativo sicuro (ke con lo sniffer nn si trovi user e password) ke permetta di sostituire il programma suddetto?

Grazie

VICIUS · 08-10-2003, 22:31

tempo fa incappai in questo programma. http://www.lysator.liu.se/~nisse/lsh/

ciao

HexDEF6 · 08-10-2003, 23:02

Quote:

Originariamente inviato da [Gnomix]
Salve a tutti,
come tutti ben sappiamo ultimamente l'SSH soffre di gravi vulnerabilità...

ora vi chiedo non esiste un programma alternativo sicuro (ke con lo sniffer nn si trovi user e password) ke permetta di sostituire il programma suddetto?

Grazie

Tutti gli ultimi bug, da quello che ho capito io, non erano effettivamente "usabili" per ottenere accessi indesiderati, quindi non credo che ssh sia cosi vulnerabile come qualcuno vuole far pensare....

Ciao

[Gnomix] · 08-10-2003, 23:33

ma a me uno degli ultimi se ben avevo letto permetteva l'accesso come root...

ilsensine · 09-10-2003, 07:34

Di bug ce ne saranno sempre. Cercare prodotti alternativi non è sempre conveniente, in quanto i bug di ssh vengono trovati...in quanto è più usato (magari gli altri ne hanno di peggiori). Cmq gli ultimi bug mi sembra erano quasi tutti DoS.

Cosa fare se si vuole un ssh il più sicuro possibile:

- Disabilitare il root login
- Usare la PrivilegeSeparation
- Disabilitare l'X-forwarding, se non necessario
- USARE GRSEC per la protezione dai buffer overflow!!! E' importantissimo ma quasi nessuno lo usa!
- Se possibile (non sempre lo è) lanciare sshd in chroot

#!/bin/sh · 09-10-2003, 07:50

domandone: come si fa a mettere ssh in chroot?

maxithron · 09-10-2003, 09:02

Quote:

Originariamente inviato da #!/bin/sh
domandone: come si fa a mettere ssh in chroot?

Questo link per me è stato abbastanza esauriente(anche se un pò datato).
Spero altrettanto per te:

http://www.linuxfocus.org/Italiano/J...ticle225.shtml

#!/bin/sh · 09-10-2003, 09:24

ottimo e abbondante

grazie mille.

[Gnomix] · 09-10-2003, 12:09

grazie !
stasera appena ho tempo ci do una letta

ilsensine · 09-10-2003, 12:12

chroot non sempre è una soluzione, in quanto vincola il login solo nella "prigione" chroot scelta. Molto interessante invece è la protezione offerta da grsec contro i buffer overflow, che sono i metodi più comuni di usare un bug per ottenere l'accesso a un sistema.

maxithron · 09-10-2003, 12:18

ed è bene consultare anche(per grsec):

http://forums.grsecurity.net/viewfor...0ac704d5b40b5b

#!/bin/sh · 09-10-2003, 16:28

girovagando ho scovato questo:
http://plus-linux.de/wiki.cgi?GrsecurityHowTo

[Gnomix] · 09-10-2003, 20:03

Quote:

Originariamente inviato da ilsensine
Di bug ce ne saranno sempre. Cercare prodotti alternativi non è sempre conveniente, in quanto i bug di ssh vengono trovati...in quanto è più usato (magari gli altri ne hanno di peggiori). Cmq gli ultimi bug mi sembra erano quasi tutti DoS.

Cosa fare se si vuole un ssh il più sicuro possibile:

- Disabilitare il root login
- Usare la PrivilegeSeparation
- Disabilitare l'X-forwarding, se non necessario
- USARE GRSEC per la protezione dai buffer overflow!!! E' importantissimo ma quasi nessuno lo usa!
- Se possibile (non sempre lo è) lanciare sshd in chroot

Nessuno di voi conosce un testo ke spiega +0- approfonditamente i punti citati da ilsensine?

maxithron · 09-10-2003, 20:10

Più che un testo potresti iniziare con il man sshd dato che i punti citati da ilsensine,
sono tutti settaggi da effettuare nel file /etc/ssh/sshd_config

BeBrA · 09-10-2003, 23:14

Quote:

Originariamente inviato da VICIUS
tempo fa incappai in questo programma. http://www.lysator.liu.se/~nisse/lsh/

ciao

anche lsh è vulnerabile... (remote root)
Se usi openssh e ti tieni un po' aggiornato non dovresti avere grossi problemi (calcola che solitamente vengono fuori prima le patch dell'exploit, o comunque aggiornano il codice praticamente in tempo reale quando c'e' una nuova vulnerabilita')
Ciao

08-10-2003, 22:22	#1
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	SSH sempre bucabile.. alternative? Salve a tutti, come tutti ben sappiamo ultimamente l'SSH soffre di gravi vulnerabilità... ora vi chiedo non esiste un programma alternativo sicuro (ke con lo sniffer nn si trovi user e password) ke permetta di sostituire il programma suddetto? Grazie __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

08-10-2003, 23:33	#4
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	ma a me uno degli ultimi se ben avevo letto permetteva l'accesso come root... __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

09-10-2003, 07:34	#5
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Di bug ce ne saranno sempre. Cercare prodotti alternativi non è sempre conveniente, in quanto i bug di ssh vengono trovati...in quanto è più usato (magari gli altri ne hanno di peggiori). Cmq gli ultimi bug mi sembra erano quasi tutti DoS. Cosa fare se si vuole un ssh il più sicuro possibile: - Disabilitare il root login - Usare la PrivilegeSeparation - Disabilitare l'X-forwarding, se non necessario - USARE GRSEC per la protezione dai buffer overflow!!! E' importantissimo ma quasi nessuno lo usa! - Se possibile (non sempre lo è) lanciare sshd in chroot __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

09-10-2003, 07:50	#6
#!/bin/sh Senior Member Iscritto dal: Aug 2002 Messaggi: 1909	domandone: come si fa a mettere ssh in chroot? __________________ AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter

09-10-2003, 09:24	#8
#!/bin/sh Senior Member Iscritto dal: Aug 2002 Messaggi: 1909	ottimo e abbondante grazie mille. __________________ AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter

08-10-2003, 22:31	#2
VICIUS Senior Member Iscritto dal: Oct 2001 Messaggi: 11471	tempo fa incappai in questo programma. http://www.lysator.liu.se/~nisse/lsh/ ciao

09-10-2003, 12:09	#9
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	grazie ! stasera appena ho tempo ci do una letta __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

09-10-2003, 12:12	#10
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	chroot non sempre è una soluzione, in quanto vincola il login solo nella "prigione" chroot scelta. Molto interessante invece è la protezione offerta da grsec contro i buffer overflow, che sono i metodi più comuni di usare un bug per ottenere l'accesso a un sistema. __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

09-10-2003, 12:18	#11
maxithron Senior Member Iscritto dal: Mar 2002 Città: Italy/Usa Messaggi: 2817	ed è bene consultare anche(per grsec): http://forums.grsecurity.net/viewfor...0ac704d5b40b5b __________________ "Utilizzando atomi pentavalenti drogheremo il silicio di tipo n; Utilizzando atomi trivalenti drogheremo il silicio di tipo p; Utilizzando della cannabis ci drogheremo noi e vedremo il silicio fare cose impossibili" - DSDT-HowTo

09-10-2003, 16:28	#12
#!/bin/sh Senior Member Iscritto dal: Aug 2002 Messaggi: 1909	girovagando ho scovato questo: http://plus-linux.de/wiki.cgi?GrsecurityHowTo __________________ AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter

09-10-2003, 20:10	#14
maxithron Senior Member Iscritto dal: Mar 2002 Città: Italy/Usa Messaggi: 2817	Più che un testo potresti iniziare con il man sshd dato che i punti citati da ilsensine, sono tutti settaggi da effettuare nel file /etc/ssh/sshd_config __________________ "Utilizzando atomi pentavalenti drogheremo il silicio di tipo n; Utilizzando atomi trivalenti drogheremo il silicio di tipo p; Utilizzando della cannabis ci drogheremo noi e vedremo il silicio fare cose impossibili" - DSDT-HowTo Ultima modifica di maxithron : 09-10-2003 alle 23:27.

Strumenti
Mostra una versione stampabile Invia questa pagina per email