Re: [ml] Sicurezza di SSH, meglio chiavi o password?

[Attenzione: lungo e prolisso]

> meglio le password delle chiavi, in particolare meglio entrare come utente non 
> privilegiato e poi fare "su"
> 
> Io invece sostengo l'opposto (chiave ssh ed accesso diretto come root) per i 

[banale e demagogico]
Il Modo Migliore di fare le cose dipende dalla tua realta' e dalle tue
esigenze (oltre che dalle idiosincrasie personali, ovviamente). Non mi
sembra che tu fornisca molte info per stabilire se sia meglio telnet o
ssh+LDAP+RSBAC+SELinux :-)

> E cmq sulle macchine dove accedo la porta 22 è aperta solo dall'IP statico del 
> mio ufficio.

Accedi solo ed esclusivamente da una rete e da da macchine fidate?
Al limite esposte ad attacchi mirati e motivati?
Sei l'unico ad accedere a quelle macchine con privilegi di root?

Se e' cosi', penso che tu possa fare come ti trovi piu' comodo. Userei
chiavi con password (con un agente per le password se gli accessi sono
frequenti), ma piu' per pigrizia, che altro. E scegliere se fare login
come root o meno direi che potrebbe dipendere piu' da quante volte poi
devi fare su/sudo (che se devi farlo _sempre_ ... tanto vale che entri
subito come root; mi sembra lo stesso, o meglio, a livello del rischio
di sottrazione di credenziali).

Ancora una cosa su 'su': se l'host dal quale fai login ha un keylogger
in esecuzione, nel momento in cui fai 'su' gli regali la pass di root.
Se avessi fatto subito il login come root con certificato, non avresti
dovuto digitare la passwd. Magari non potra' essere usata direttamente
per il login, ma se, per esempio, chi te l'ha presa ha gia' un account
valido... (come vedi, talvolta concordo anch'io sull'"opposto" :-)

Insomma... i trade-off sulla sicurezza son diversi per ognuno, le best
practices generiche devono essere adottate in maniera critica (IMHO).

> Voi che precauzioni adottate?

Uhmmm...

In genere faccio login come root con certificato se devo lavorare come
root e come utente semplice con certificato se non mi serve uid=0. Non
e' una tragedia portare in giro piu' certificati (sempre con password)
al posto d'uno solo. Evito su: se serve, apro una seconda sessione con
il certificato di root. Una mia collega ha dei certificati di root: se
sono io o lei ad entrare lo vedo nei log di sshd. Se uno dei due molla
il colpo, revocare l'accesso e' questione di togliere un paio di righe
da .authorized_keys. Nella mia realta' attuale mi sembra che vada bene
cosi'.

Avendo la necessita' d'accedere alle macchine anche da luoghi strani e
da macchine in genere non fidate, a volte in giro per il mondo, prendo
una precauzione forse curiosa: accedo tramite chiavi, di cui ne genero
una decina che tengo sempre con me. Quando devo entrare da un host del
quale mi fido poco, uso una di quelle chiavi e non appena faccio login
la elimino da .authorized_keys, cosi' che non possa piu' essere usata.
In questo modo, anche se mi hanno keyloggato la password e copiato [1]
le chiavi, non devo preoccuparmi. Un OTP casereccio. Uso solo i client
miei che mi porto in giro insieme alle chiavi, e possibilmente facendo
il boot da un live cd Linux che mi porto dietro.

... l'unico problema e' ricordarsi tutte le passfrases :-)


Fabio

[1] il tutto da dopo quella volta in cui infilando un pendrive USB nel
    picci d'un internet point cambogiano, notai un grande attivita' di
    lettura sulla penna: era in atto la copia di tutti i file verso il
    disco del pc stesso. Venivano esclusi i principali file multimedia
    in base all'estensione (tipicamente quelli di maggiore dimensione)
    e quindi, probabilmente, la gente non se accorgeva mai, o di rado.
    Un keylogger completava l'opera. Dubito che l'obiettivo principale
    fossero proprio le chiavi ssh, ma...