[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Privilege Separated OpenSSH
Mittente: David Coppa
Data: 16 Mar 2002 16:37:55 -0000
Niels Provos "ha colpito ancora" con una versione speciale di OpenSSH 3.1 che
integra una separazione completa dei privilegi. In pratica, il processo padre
e' l'unico che ha i privilegi di root e controlla l'andamento dei processi
figli unprivileged. Questa tecnica rende molto difficili se non impossibili i
vari attacchi tipo crc compensation o channel bug.

Io l'ho installato e non mi ha dato alcun problema... Un esempio e' meglio di 
mille chiacchiere:

 (coffeec@caff:~)$ ssh coffeec@caff
otp-md5 82 caff91314
S/Key Password: 
Last login: Sat Mar 16 15:35:35 2002 from caff
 (coffeec@caff:~)$ ps auwx | grep -v grep | grep sshd
root      4307  0.0  1.1   348   360 ??  Ss     3:07PM    0:00.06 sshd -4 -p 22 
root      2653  0.0  4.1   432  1320 ??  S      3:36PM    0:00.24 sshd: coffeec [priv] (sshd)
coffeec  27849  0.0  4.2   436  1336 ??  S      3:37PM    0:00.04 sshd: coffeec@ttyp8 (sshd)
 (coffeec@caff:~)$ 

Un paio di note:

* Se usate OpenBSD 2.9 (come me) dovete applicare a mano la patch di 
  backward compatibility

* Prima di lanciare il demone, create la directory /var/empty (la usa per
  chrootare)

L'url e': http://www.citi.umich.edu/u/provos/ssh/privsep.html

Per ora il codice e' solo per la versione OpenBSD di openssh, ma dice Provos 
che verra' presto integrato anche nella versione portable.

Bye

--
David "caff" Coppa <caff AT openbeer DOT it>
Fingerprint: 2EF5 C87B 96EF 555F 79CB  31B0 3D44 1DEC B285 16AD
PubKey: http://www.openbeer.it/keys/caff.asc

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005