Re: [ml] Massima sicurezza in OpenSSH

On Wed, 2006-02-15 at 17:31 +0100, Mailing List Manager wrote:

> Avrei qualche domanda da fare su OpenSSH.
> In particolare vorrei utilizzare la versione 2 del protocollo con
> autenticazione basata su chiavi RSA a 2048 bit.
> Vorrei arrivare ad avere sulle mie macchine il livello di sicurezza pi? alto
> possibile.
> 
> Procedendo con ordine:
> 
> 1) Come posso criptare tramite passphrase la chiave privata del client
> (generata tramite il comando ssh-keygen -b 2048 -t rsa) in AES256
> invece che il 3DES di default?
> Devo compilare opportunamente OpenSSH da sorgenti oppure lo si pu? fare in
> seguito?
>
non credo sia possibile, ma è una mia supposizione. non ho trovato
riscontri, in merito.
ma comunque... a che pro?

> E poi, in che punto del filesystem ? meglio salvarle?
> 
le chiavi vanno salvate in ~/.ssh/, se poi vuoi salvarle da un'altra
parte è solo una tua scelta personale. non credo esistano posto più o
meno sicuri. le host keys invece non possono essere spostate, a meno che
non configuri opportunamente il server. però non ne vedo il motivo.
quanto alle chiavi personali, è compito dell'utente custodirle. la
directory ~/.ssh ha per default permessi 0700 quindi non è accessibile a
nessuno al di fuori del proprietario. se questi cambia i permessi di
default sono solo fatti suoi.
cito comunque il manuale di ssh-keygen:
"Good passphrases are 10-30 characters long, are not simple sentences or
otherwise easily guessable (English prose has only 1-2 bits of entropy
per character, and provides very bad passphrases), and contain a mix of
upper and lowercase letters, numbers, and non-alphanumeric characters.
There is no way to recover a lost passphrase.  If the passphrase is lost
or forgotten, a new key must be generated and copied to the
corresponding public key to other machines."

> 2) Cosa significa la voce 'ChallengeResponseAuthentication' in
> /etc/ssh/sshd_config?
> 
è un tipo di autenticazione. dal momento che hai intenzione di usare
l'autenticazione con chiavi, che è più sicuro, il problema non ti si
pone

> 3) Le fasi di una trasmissione in SSHv2 sono:
> [...]
>
una precisazione: il canale è criptato con chiavi simmetriche, questo è
vero. si tratta però di chiavi effimere, derivate da un primo scambio di
chiavi asimmetriche.
per tutto il resto trovi le risposte in 'man sshd':
http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html

> 4) Quali permessi consigliate di dare ai file ssh_config, sshd_config,
> /.ssh/authorized_keys, e alle stesse chiavi RSA di client e server?
> 
quelli di default vanno più che bene: 0700 per le directories e 0600 per
i files

> 6)Se volessi mettere il server SSHD in ascolto verso la LAN interna sulla
> porta 22 e in WAN sulla x>1024 cosa consigliate di scrivere in
> /etc/ssh/sshd_config?
>
il server sta in ascolto su una sola porta, quindi per avere due porte
devi avere due server.
ti chiedo però quanto senso abbia cambiare porta. è vero che esistono
degli script automatici che provano combinazioni username/password sulle
porte 22, ma si tratta appunto di script automatici. il massimo danno
che possono fare è riempirti i log di spazzatura.
diventano un problema quando hai accessi senza password, o password tipo
"pippo".
c'è anche da dire che qualunque tentativo di accesso ad un server SSH è
vano quando si è inibito qualuqnue login tranne quello con chiave e non
si è in possesso della chiave privata corrispondente ad una delle chiavi
pubbliche resistrate. 
l'unico effetto che ottieni è quello di non poter entrare nel tuo
sistema quando ti trovi dietro ad un firewall ben fatto, e cioé che
lascia uscire solo le connessioni a porte determinate. un'amministratore
coscenzioso permette sicuramente le connessioni alla porta 22, ma alla
porta 2222 perché mai qualcuno dovrebbe lasciarti connettere?
inoltre quello è solo un vile trucco da niubbo, aggirabile con una
facilità estrema, perché basta un semplicissimo portscan in stealth
mode. lascia questi giochetti ai bambini.


-- 
Sergio Bevilacqua <sergio.bevilacqua@xxxxxxxxxxxx>
LRU #320908, ICQ #171226212, GPG key ID: 1480A7B5
Key fingerprint: F10C 28FD AA66 1D2E 3B55  BF62 F1F1 1A4E 1480 A7B5
        Signatures are welcome as long as you can contact me in person.

Attachment: signature.asc
Description: This is a digitally signed message part