pureacetone Apr 9 2021 at 14:39

Отключаем прямой доступ к терминалу на арендованном сервере

2 min

13K

Information Security**nix*Server Administration*

Tutorial

+12

Comments 34

UFO just landed and posted this here

pureacetone Apr 9 2021 at 14:47

Шифрование упомянуто в статье, как основной способ защиты. Сама же заметка посвящена ликвидации доступа к терминалу.

UFO just landed and posted this here

pureacetone Apr 9 2021 at 14:52

Абсолютной защиты не бывает, но ее наличие увеличивает шанс на выживаемость. Это сопоставимо с бронежелетом, который часто закрывает около 60% торса, не предусматривая попадание в слабые места, а также сбоку, в ноги, руки и голову.

codecity Apr 9 2021 at 15:16

Вы пробовали поковыряться хотя бы 200 Мб RAM? Это кажется что 200 Мб копейки, на самом деле это размер 200 средних книг, т.е. целый книжный шкаф. Выискивать там информацию — то еще удовольствие. Особенно когда ключи хранятся в памяти подсоленные — понять где подсоленный ключ, где соль — это не так просто.

amarao Apr 9 2021 at 15:49

Разумеется, байты надо вручную читать, после распечатки на принтере. Ни один хаккер не догадается вбить в гугль ssh keys from memory dump и найти вот это: https://github.com/DiabloHorn/pageant_xkeys

Я уверен, что таких проектов килограммами можно найти.

codecity Apr 10 2021 at 17:55

Только для популярного софта, а не вашего уникального сервиса.

amarao Apr 10 2021 at 18:05

В 99% случаев либо никому этот софт не нужен, либо он использует стандартные библиотеки. Более того, даже не зная нифига о софте, но имея его копию, написать грепалку, которая по дампу памяти найдёт нужное (просто по регэкспу) — не то, чтобы совсем просто, но и не rocket science.

(Что-то мне подсказывает, что для всего нужного софта дампилки уже давно написаны. И кошельки у крипты, и gpg пароли...)

codecity Apr 10 2021 at 21:02

В 99% случаев либо никому этот софт не нужен

Криптообменник, к примеру. Софт не нужен, а ключи — нужны.

либо он использует стандартные библиотеки

В библиотечную функцию передал ключ, получил подпись — данные из памяти потерлись. Выискать ключ среди всех переменных, особенно если ключ подсолен, исходников нет — то еще удовольствие.

amarao Apr 10 2021 at 21:39

А передалось оно откуда? Из программы. Которая, либо страдает паранойей (ура, хорошо), либо на php и ничего такого не думала. Тогда, зная регэксп стандартного формата ключа найти его — как нефиг делать. Вот, смотрите:

(-----BEGIN OPENSSH PRIVATE KEY-----)(.+)(-----END OPENSSH PRIVATE KEY-----)

Как вы думаете, что я найду в памяти? Этот комментарий, и....

amarao Apr 9 2021 at 15:47

И всё равно терминал вы не отключаете. Остаётся grub, остаётся консоль линукса (sysrq).

Учитесь.
linux:
console=ttyS0,115200 i8042.nokbd

grub:
GRUB_TERMINAL=serial
GRUB_DISABLE_RECOVERY=true

systemd:

systemd:
name: getty@tty1.service
enabled: false
state: stopped
masked: true

(Переключает консоль на последовательный порт).

mayorovp Apr 9 2021 at 16:12

И опять-таки, недобросовестный хостер найдёт способ в последовательный порт "воткнуться".

pureacetone Apr 9 2021 at 16:29

Отключение или изменение вывода консоли системы не влияет на безопасность, связанную с авторизацией на машине. Теме авторизации как раз посвящена эта статья.
Параметры grub также не являются критичными в плане утечки информации, а ваше переключение на последовательный порт, как уже отмечено, не является решением вами же обозначенной уязвимости.

-2

m0xf Apr 9 2021 at 17:22

Что даёт доступ к терминалу, если злоумышленнику неизвестен пароль?

pureacetone Apr 9 2021 at 17:24

В первую очередь, возможность брутфорса пароля. Конечно, в современных реалиях брутфорс серверного пароля навряд ли увенчается успехом, но спится так всё же спокойнее :)

Помимо всего описанного, нянкэт вместо эмулятора терминала — это всё же своего рода юмор.

-5

antage Apr 10 2021 at 16:18

А вы пробовали брутофорсить пароль в терминале линукса? Похоже что нет.

ViperRU Apr 9 2021 at 19:13

Помоему рубить сук на котором сидишь. То же самое, что брать в аренду сервер, без ipkvm.
А в такой конфигурации не сработает сочетание на реальной клавиатуре Alt + SysRq + K для запуска консоли с login.

ViperRU Apr 10 2021 at 10:13

Последней фразой я хотел спросить:
А в такой конфигурации не сработает сочетание на реальной клавиатуре Alt + SysRq + K для запуска консоли с login?

Yoskaldyr Apr 9 2021 at 23:39

Статья настолько бессмысленная насколько и беспощадная :(

ivankudryavtsev Apr 10 2021 at 04:11

Здравствуйте, а как запустить VM с зашифрованным диском без терминала. Там же надо ввести ключ расшифровки? С отключением tty я еще понимаю, но на этапе загрузки терминал нужен же, если какие-то ну уж очень хитрые способы активации luks не использовать?

Или вы используете шифрованный $HOME?

pureacetone Apr 10 2021 at 08:09

Ключ luks вводится до запуска всего описанного гербария при включении VM. Отношения к logind и getty не имеет, т.к. на стадии ввода ключа диск с упомянутыми утилитами еще зашифрован.

Aelliari Apr 10 2021 at 09:40

Как то видел финт ушами, с ssh сервером в рамдиске и некой "магии с настройками", в итоге при полнодисковом шифровании стартовало ядро и ssh сервер, который ожидал подключения и ввода пароля

pureacetone Apr 10 2021 at 09:46

Было бы любопытно ознакомиться!

isden Apr 10 2021 at 09:50

У меня так настроено. Магии там нет :)

pureacetone Apr 10 2021 at 09:51

Даёшь мануал на Хабр :)

isden Apr 10 2021 at 09:54

Я уже второй год собираюсь об этом написать, да все времени не найду :(

AlexanderS Apr 11 2021 at 16:16

Было бы очень интересно почитать!

isden Apr 10 2021 at 09:53

Можно еще добавить вот так.

systemctl mask getty\@tty1

/etc/default/console-setup

ACTIVE_CONSOLES="/dev/tty1"

/etc/security/access.conf

-:ALL:tty1

/etc/pam.d/login

account  required       pam_access.so

savostin Apr 10 2021 at 10:37

А что мешает недобросовестному хостеру подключаться по ssh?

mayorovp Apr 10 2021 at 11:50

Очевидно, аутентификация по ключу

savostin Apr 10 2021 at 12:43

Ну, можно и рутовый пароль из сотни символов поставить — эффект тот же.

werter78 Apr 10 2021 at 17:56

Привет.
Кто там выше хотел (авто)монтирование шифрованных разделов при загрузке?

habr.com/ru/post/525706

github.com/dracut-crypt-ssh/dracut-crypt-ssh

www.cyberciti.biz/security/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command

www.reddit.com/r/linuxadmin/comments/eursu8/mounting_luksencrypted_data_disks_with_a_keyfile
withblue.ink/2020/01/19/auto-mounting-encrypted-drives-with-a-remote-key-on-linux.html

hamy.io/post/0009/how-to-install-luks-encrypted-ubuntu-18.04.x-server-and-enable-remote-unlocking

www.cyberciti.biz/security/how-to-unlock-luks-using-dropbear-ssh-keys-remotely-in-linux

MagicGTS Apr 10 2021 at 22:22

Важно добавить. Всё эти способы «доверяют» платформе и как правило не имеют средств защиты от компрометации загрузчика. Если кто-то задумал получить ваши ключи шифрования, совсем не надо искать их в ОЗУ, надо подменить загрузчик на тот, который и сольет все ключи. Единственная, и довольно слабая надежда на Secure Boot.

Maxim_Q Apr 10 2021 at 23:05

Этот способ защиты работает не зависимо от типа виртуализации (OpenVZ, KVM...) или нет?

Show the best of all time