Re: alternative ad sshd

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2001 ml@sikurezza.org
Soggetto: Re: alternative ad sshd
Mittente: antirez
Data: 8 Oct 2001 16:12:26 -0000

On Mon, Oct 08, 2001 at 01:45:18PM +0200, sysadmin@metropol.it wrote:
> Date le sempre + crescenti vulnerabilita' del sistema ssh open e non, ho dato 
> una occhiata in giro e ho trovato questo oggetto :
> 
> http://srp.stanford.edu
> 
> vorrei sapere che ne pensa il gentile pubblico :)
> 
> Abbracci a tutti
> 
> Joy ( aka PhoenYx Marito di Morrigan e prossimo padre della peggior nemesi che
> internet avra' :) )

Io non posso svilupparla per mancanza di tempo, ma credo fremamente
che la vera alternativa sicura ad sshd sia una shell con crittografia
simmetrica (leggi devi scambiare la prima volta la chiave usando PGP
o a manina tra server e client) che limiti il codice eseguito nel
caso l'utente NON possieda la giusta chiave a poche linee.

Questo crea una barriera enorme per chi non possiede la giusta
chiave. Possono solo eseguire un paio di righe di codice che
controllano un HMAC o qualcosa del genere, dunque arrivare
ad una sicurezza vicina al 100% contro attacchi da parte di una persona
qualunque su internet e' possibile.

Ovviamente questo sistema non crea il problema di dover limitare
ssh ad un subset di IP, dunque si puo' usare anche se il client
ha indirizzo dinamico. Visto che il sistema non supporta lo scambio
della chiave in maniera asimmetrica questo e' uno strumento
assolutamente orientato all'amministatore di sistema che vuole
accesso ai suoi server, ma mi sembra una limitazione piu' che
ragionevole visto che in ogni caso un sistema sicuro non puo' avere
1000 utenti che si registrano on-line per avere una shell ;)

Appena ho tempo ed una macchina mia in rete che mi espone al problema
sshd lo faccio, per ora purtroppo ho altro.

ciao,
antirez

p.s. credo che tutto il codice necessario non superi le 1000 righe,
     avevo fatto una versione sperimentale tempo fa.

pp.ss. mi stanno attivando le mailing list su invece.org, dunque
       in teoria il progetto security auditing consortium dovrebbe
       partire a breve.

-- 
Salvatore Sanfilippo <antirez@invece.org>
http://www.kyuzz.org/antirez
finger antirez@tella.alicom.com for PGP key
28 52 F5 4A 49 65 34 29 - 1D 1B F6 DA 24 C7 12 BF

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: RE: Fault Tolerant GSM network, Marinelli Alessio
- successivo: Re: programma di login contraffatto!, antirez
- indice

Argomento:
- precedente: alternative ad sshd, sysadmin
- successivo: R: WAM=intrusione?, Maurizio Menessini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005