Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 56
Инфицирование начинается с попытки брут-форса SSH, используя логин root.Суровый «троян».
Если root может подключаться удаленно, то владельцев таких серверов не очень жалко.
Я, как диванный системный администратор, смею заметить, что пользователя от рута отделяет лишь один вызов sudo/su. Так что ваш аргумент ни о чём.
Забрутфорсить логин+пароль гораздо сложнее чем только пароль.
Но при этом забрутфорсить логин на порядок легче, чем пароль. Так что общая сложность получается того же порядка, что и сложность брутфорса пароля. Кроме того, логин иногда можно узнать и из других источников.
Но при этом забрутфорсить логин на порядок легче, чем пароль. Так что общая сложность получается того же порядка, что и сложность брутфорса пароля
Это было бы верно, если бы существовала отдельная процедура брута логина до брута пароля.
К примеру, энтропия логина — 10 бит, пароля — 30 бит. Поскольку невозможно узнать, верный ли логин, не указав верный пароль, энтропия пары логин+пароль уже 40 бит (считая эти переменные независимыми).
В случае, если человек используем уникальные для каждого сервера пароли в стиле «VDhPxh46RBPQA» к которому еще что-то прилеплено, и на сервере стоит хотя бы fail2ban, то брутить root'а можно вечно.
В нашем несовершенном мире, к сожалению, всегда есть шанс выстрелить себе в ногу или что твой коллега выстрелит себе в ногу. Поэтому надо в принципе заводить привычку не направлять ружье на людей. Я к чему. Сложные пароли на рута — это прекрасно. Но авторизация по ключу на серверах — это просто must be. Желательно для всех пользователей. Самым криворуким можно дать исключения.
Вот потеряет пряморукий коллега ноутбук вместе с ключами и будет весело, а если намеренно украдут — еще веселее. Или «хороший» коллега вставит флешку и скинет ключи «пряморукого» коллеги к себе — тоже весело.
Я за авторизацию по ключам для всех пользователей, кроме системного администратора. И именно из-за паранои того, что файлики могут украсть хоть_инопланетяне я их для root'а на критически важных для меня серверах не использую. А там, где второстепенные или третьестепенные — там у меня по ключам сделано.
Я понимаю, что так разделять нехорошо и все должно быть важно, но помнить рандомные пароли всех и вся — ну уж нет, а вот десяток с разными суффиксами, это можно, благо жертвы небольшие, и ключи защищаю как умею.
Я за авторизацию по ключам для всех пользователей, кроме системного администратора. И именно из-за паранои того, что файлики могут украсть хоть_инопланетяне я их для root'а на критически важных для меня серверах не использую. А там, где второстепенные или третьестепенные — там у меня по ключам сделано.
Я понимаю, что так разделять нехорошо и все должно быть важно, но помнить рандомные пароли всех и вся — ну уж нет, а вот десяток с разными суффиксами, это можно, благо жертвы небольшие, и ключи защищаю как умею.
Вы же знаете про шифрованные паролем ключи, ведь правда?
Тогда поясните, какой смысл использовать пароль на ключ, который (ключ) используется для доступа к серверу вместо ввода сложного пароля?
Просто меняет брут пароля для root на брут ключа (который, правда, в начале надо получить)?
Тут уже другое страхамнезии потери ключа. Ведь если это очень-очень удаленный сервер куда нету физического доступа, то придется его как минимум перегружать, чтобы загрузить с «пустышкой», и прописать новые ключи.
Я не за холивар «пароль Vs. ключ», которые начинают представители той или иной стороны, я за удобство использования, безопасность и скорость, и для меня шанс остаться без копии ключа много выше чем шанс забыть один из паролей и суффикс. Поэтому я использую в большей степени пароли, чем ключи к root. И вижу только 1 преимущества ключа: «сбрутить можно, украв», но и время брута в обоих случаях займет если не вечность, то около того, ведь я не использую пароли и суффиксы от root'а повседневной жизни (=на других ресурсах).
Значит сократить диапазон значений для брута в моей случае нельзя.
Ключи идеальны для пользователей: поставил putty, поставил ключ без пароля, прокинул порт, пользователь работает дома в прокинутом ПО, и нет необходимости в VPN.
Просто меняет брут пароля для root на брут ключа (который, правда, в начале надо получить)?
Тут уже другое страх
Я не за холивар «пароль Vs. ключ», которые начинают представители той или иной стороны, я за удобство использования, безопасность и скорость, и для меня шанс остаться без копии ключа много выше чем шанс забыть один из паролей и суффикс. Поэтому я использую в большей степени пароли, чем ключи к root. И вижу только 1 преимущества ключа: «сбрутить можно, украв», но и время брута в обоих случаях займет если не вечность, то около того, ведь я не использую пароли и суффиксы от root'а повседневной жизни (=на других ресурсах).
Значит сократить диапазон значений для брута в моей случае нельзя.
Ключи идеальны для пользователей: поставил putty, поставил ключ без пароля, прокинул порт, пользователь работает дома в прокинутом ПО, и нет необходимости в VPN.
Тогда поясните, какой смысл использовать пароль на ключ, который (ключ) используется для доступа к серверу вместо ввода сложного пароля?
Просто меняет брут пароля для root на брут ключа (который, правда, в начале надо получить)?
Вот в этом «получить» и суть. Вы считаете, что получить ключ проблемы нет?
Тут уже другое страх амнезии потери ключа. Ведь если это очень-очень удаленный сервер куда нету физического доступа, то придется его как минимум перегружать, чтобы загрузить с «пустышкой», и прописать новые ключи.
Вы же в курсе про бэкапы, да? Можно под отдельным паролем.
Я не за холивар
Очень важно это сказать поддерживаю холивар. А то я было подумал, что вы за холивар!
для меня шанс остаться без копии ключа много выше
Вы таки не в курсе про бэкапы? оО
вижу только 1 преимущества ключа
Вы троль или шутите? Там кроме брута есть еще дохрена нюансов. Например, то как Вы будете получать доступ рута, зайдя под пользователем. Если не видите сами, почитайте что ли практики более опытных людей в инете.
Ключи идеальны для пользователей: поставил putty, поставил ключ без пароля, прокинул порт, пользователь работает дома в прокинутом ПО, и нет необходимости в VPN.
Ключи необходимы всегда, кроме случаев, когда необходимо использовать используется ПО, которое их не умеет.
Прочитав ваш комментарий я понимаю, что не вам работу дают, а вы сами ее себе создаете.
Мне работу создают такие как вы. Которые ни сами не понимают, ни более опытных людей не слушают. А потом за ними подчищать приходится. Ну спасибо вам, что уж. Без хлеба я не останусь.
Если проследить тех, кому я создаю работу больше всего (в течении жизни), то это
врачи->коммунальные службы->различные саппорты. Вы относитесь к какому пункту, чтобы так со мной дискутировать?
Я прекрасно понимаю, что завернувшись в чрезвычайную паранойю, я разобью свой роутер и зашторю окна, и сяду на диван с банкой довоенной тушенки.
Но я не кладу все яйца в одну корзину, и мне проще выделить ресурсов под отдельный «ресурс»,на котором внутри которого могут работать пользователи.
Качеством «наружки», которая дергает внутренние механизмы я дорожу. Поэтому все продукты как правило свежие, ну а если что-то нельзя поменять, то урезаю функционал до безопасного. Но это уже к ключам не относится.
врачи->коммунальные службы->различные саппорты. Вы относитесь к какому пункту, чтобы так со мной дискутировать?
Я прекрасно понимаю, что завернувшись в чрезвычайную паранойю, я разобью свой роутер и зашторю окна, и сяду на диван с банкой довоенной тушенки.
Но я не кладу все яйца в одну корзину, и мне проще выделить ресурсов под отдельный «ресурс»,
Авторизация только по ключам и брутфорсите на здоровье!
Вызов su предполагает новый брутфорс, обычно этот пароль имеет куда большую сложность нежеле пользовательский(у меня так). А владельцев включивших для ssh-пользователей sudo на сервере, не очень-то и жалко…
> А владельцев включивших для ssh-пользователей sudo на сервере, не очень-то и жалко…
Я прошу прощения, а сервер вы администрировать будете исключительно через KVM? Если рассматривать вариант «доступ для рута по ssh по ключам», то что делать с пользователями убунты, например? Или туда уже рута завезли?
Я прошу прощения, а сервер вы администрировать будете исключительно через KVM? Если рассматривать вариант «доступ для рута по ssh по ключам», то что делать с пользователями убунты, например? Или туда уже рута завезли?
Можно и через KVM, даже лучше через отдельный jail, а пользователям убунты ничто не мешает поправить sudoers и сделать аналогичную двойную авторизацию. А вообще не вижу препятствий в удалении sudo с сервера и использовании su.
и да, авторизацию по ключам для root? no way!
А чем убунта отличается от остальных? У меня сервера с убунтой админятся так же как и все остальные. Ключ в ~root/.ssh/authorized_keys и вперед.
В Убунте запрещено входить под рутом, поэтому некоторые думают, что его там нет вообще.) Кстати, не знал, что вход под рутом через ssh разрешён.
Вызов su предполагает новый брутфорс, обычно этот пароль имеет куда большую сложность нежеле пользовательский(у меня так).Можно установить кейлоггер для текущего пользователя, и дождаться, когда же придет админ.
Старая сказка. Просто надо отключать авторизацию по паролям и все. Ставить sudo на сервера более опасно, чем root по ключу. Доступ к su тоже.
Ничего не понял. Оно в юзерспейсе, или в ядро лезет? Если, да, то не написано как. Если нет — то где тут руткит?
А вопрос-то правильный, непонятно, почему вас минусанули. Это userspace-руткит, который себя LD-PRELOAD'ит, вроде. Они azazel распотрошили, насколько я понял.
LD_PRELOAD руткит. Потрясающе. Это примерно как svchost.exe в качестве «вируса».
Да не, это серьезнее, чем вы думаете. Это говно может легко прописаться в /etc/ld.so.preload, скрыть сам этот файл (перехватывать вызовы), скрыть себя из процессов, скрыть соединения и открытые файлы и все такое, и прелоадится в каждый процесс. Почитайте, что умеет azazel: github.com/chokepoint/azazel, только azazel не умеет перехватывать dlsym(), поэтому его можно детектировать из юзерспейса, но вполне можно сделать так, чтобы из юзерспейса его вообще увидеть было нельзя.
Я вступаю в область, в которой я сильно плаваю, но по своему опыту я могу сказать, что LD_PRELOAD для некоторых программ не работает. Ярчайший пример — steam, который tsocks просто игнорирует из принципа.
Компоненты руткита являются загружаемыми модулями ядра (LKM).Разве это LD-PRELOAD?
Неужели в мире так много людей, которым сложно корректно настроить SSH и поставить аутентификацию только по ключам? Это же так легко делается. Один раз разобраться с опциями в конфиге, зато потом всегда за 5 минут можно поднять секурно настроенный SSH. С аутентификацией по ключам даже никакие fail2ban не нужны.
Вы знаете, тут неожиданно оказалось, что бывают люди, которые считают, что пароли лучше!
Пароль на ключи решают проблему компрометации ключей. А простой пароль на ключ ничем не хуже простого пароля от пользователя.
Ваш способ хорош, если доступ по SSH залочен на железку. Но в таком случае вы теряете доступ, если с ней что-то случится, единая точка отказа она такая.
К тому же вопрос вырабатывания правильной привычки. Пароль доступ в линукс, беспарольные ключи зло — надо от них уходить и проектировать инфраструктуру и ПО с учетом того, что весь доступ по ключам.
Ваш способ хорош, если доступ по SSH залочен на железку. Но в таком случае вы теряете доступ, если с ней что-то случится, единая точка отказа она такая.
К тому же вопрос вырабатывания правильной привычки. Пароль доступ в линукс, беспарольные ключи зло — надо от них уходить и проектировать инфраструктуру и ПО с учетом того, что весь доступ по ключам.
Нет, fail2ban нужен. Не столько для усложнения перебора, сколько для пресечения эксплуатации уязвимостей.
Вот как раз чего уж fail2ban не может, так это защитить от эксплойта. Это всего лишь скрипт-антибрут, который сканит логи демонов на предмет попыток брута и банит ip через iptables. Никакой антиэксплоитной магией он не обладает и даже не анализирует пакеты, как IDS, так что пакет с эксплоитом через себя он пропустит.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Linux DDoS-троян скрывается за встроенным руткитом