Re: [ml] sshd & strace [was: SSH - The unsecure shell]

On Mon, Apr 18, 2005 at 04:31:10PM +0200, Flavio Visentin wrote:

> | Se  il tuo  problema e'  non  mandare le  password, l'unica  alternativa
> | possibile   e'  utilizzare   i  certificati;   c'erano  degli   articoli
> | introduttivi al riguardo su securityfocus tempo fa.
> 
> Aggiungerei che in ogni caso anche la chiave privata viene mostrata da
> strace, come è giusto che sia:
> 
> strace -e trace=read -s 5000 ssh user@server 2>&1| grep -E "[RD]SA"

Strace lanciato sul  client, non sul server, ovviamente  (o, sul server,
quella dello stesso, non quella dell'utente).

Poiche'  il  problema  evidienziato   era  legato  all'esposizione  (sul
server)  di dati  che  permettano al  root/malicious  root dello  stesso
di  autenticarsi verso  altre  macchine su  cui  abbia accesso  l'utente
(premesso  che usare  la  stessa  password su  piu'  host e'  male[tm]),
l'utilizzo  dei  certificati risolve  questo  problema  (sul server  non
estrai le chiavi privati degli utenti).

Nel  caso la  macchina sia  poi  utilizzata per  collegarsi verso  altri
sistemi (pessima  idea in generale se  non e' una macchina  propria, gli
annali  della e-zine  el8 aiutano  al  riguardo :),  utile l'opzione  -A
(forward  dell'autenticazione) piuttosto  che inserire  su una  macchina
compromessa password o  chiavi private; se il server  e' malicious, puo'
ovviamente utilizzare  l'agente per  autenticarsi su macchine  terze, ma
non puo' cmq estrarre la chiave privata.

La cosa meno dannosa e' ovviamente  utilizzare il tunneling a livello di
rete, per  esempio attraverso  -L o -D  per arrivare  direttamente sulla
macchina terza dalla propria stazione passando per l'host ssh nel mezzo.

bye
Koba (moderatore)

<messaggio promozionale>
Ti diletti a scrivere? -> http://www.romanzototale.it
</messaggio promozionale>