Re: [ml] Sicurezza di SSH, meglio chiavi o password?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2007 ml@sikurezza.org
Soggetto: Re: [ml] Sicurezza di SSH, meglio chiavi o password?
Mittente: SKAL
Data: Thu, 31 May 2007 12:44:36 +0200 (CEST)

Alessio Cecchi wrote:
> Salve a tutti,
> 
> vorrei dei consigli e magari uno scambio di pareri su come sia meglio 
> impostare OpenSSH Server per garantire un buon livello di sicurezza al 
> server.
> 
> I miei dubbi nascono da una discussione con una persone che sostiene tale 
> tesi:
> 
> meglio le password delle chiavi, in particolare meglio entrare come utente non 
> privilegiato e poi fare "su"
> 
> Io invece sostengo l'opposto (chiave ssh ed accesso diretto come root) per i 
> seguenti motivi:
> 
> le chiavi non possono essere captate a differenza delle password, mi è 
> capitato di accedere ad una macchina con SSH compromesso e di trovare un file 
> di testo con tutte le password in chiaro degli utenti, con le chiavi ciò non 
> sarebbe potuto avvenire, certo se hanno modificato SSH è già un grave 
> problema ... ma a me interessa che non mi freghino la password che magari 
> utilizzano altri utenti per accedere ad altre macchine.
> 
> anche se mi rubano la chiave devono rubarmi anche la password della chiave o 
> vice versa
> 
> un dubbio, se mi rubano la chiave, possono poi "captarmi" la password della 
> chiave, magari mentre faccio login su una macchina compromessa? Credo di no.
> 
> Io imposto sempre in sshd_config:
> 
> AllowUsers utente-normale root
> PermitRootLogin without-password
> 
> che ritengo sia sicuro al pari di:
> 
> PermitRootLogin no
> 
> nel senso che anche se mi rubano la password di root cmq non riescono ad 
> entrare nella macchina. Mi sbaglio?
> 
> In generale se imposto SSH per accettare solo connessioni con chiavi sto più 
> tranquillo, mi devono cmq rubare le chiavi e le password delle chiavi per 
> entrare (ovviamente non tengo conto che possano entrare per un bug di SSH, lì 
> allora nessuno mi salva).
> 
> E cmq sulle macchine dove accedo la porta 22 è aperta solo dall'IP statico del 
> mio ufficio.
> 
> Voi che precauzioni adottate?

Scusa la domanda che potrebbe sembrare banale, ma entrare con un'utenza
"normale" tramite chiave, e una volta che sei sulla macchina fare un bel
'su -'; cosi' non usi password in momenti non cifrati, e non dai accesso
diretto a root, come vuole la buona tradizione?

My 2 cents

Leo

In risposta a:
- [ml] Sicurezza di SSH, meglio chiavi o password?, Alessio Cecchi

Data:
- precedente: RE: [ml] Sicurezza di SSH, meglio chiavi o password?, Domenico Viggiani
- successivo: Re: [ml] Forensics e standard, Paolo Ottolino
- indice

Argomento:
- precedente: RE: [ml] Sicurezza di SSH, meglio chiavi o password?, Domenico Viggiani
- successivo: Re: [ml] Sicurezza di SSH, meglio chiavi o password?, Diego Busacca
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005