/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hjælp til sikkerhedspolitik
Fra : Anders Wegge Jakobse~


Dato : 03-01-05 18:01


Jeg har studeret <http://sikkerhed-faq.dk/infrastruktur>, med henblik
på at strikke en privat sikkerhedspolitik sammen. Men jeg er kørt lidt
fast efter jeg har defineret de data der skal beskyttes. Det drejer
sig ikke om så meget:

Seriøst vigtige data:

- Nøglefil til min homebank
- OCES Certifikat

Vigtige data:

- Passwordløs RSA-nøgle til automatisk backup

Og resten:

- Diverse konfigurationsfiler til min Linux server og henved 500kb
hjemmestrikket sourcekode.

Alt sammen residerende på min linuxmaskine som jeg stik imod alle
anbefalinger bruger som http/ftp/dns server, samtidig med at den er
min personlige maskine. Det vigtigste er naturligvis at beskytte mine
Seriøst vigtige data, hvorimod resten kan reetableres forholdsvist
nemt. Spørgsmålet er bare hvordan.

Angrebsfladerne, som enhver kan se ved at portscanne mig, har jeg en
bredbåndsrouter stående foran min installation, og den NAT'er
følgende.

1. Default Default 0.0.0.0
2. 21 21 LANIP
3. 53 53 LANIP
4. 80 80 LANIP
5. 22 22 LANIP
6. 25 25 LANIP
7. 6881 6999 LANIP

Apache kører med en upriviligeret konto, og bind er chrooted(), men
ellers har jeg ikke gjort andet end at holde mig ajour med de
sikkerhedsrettelser der kommer til Fedora.

Spørgsmålet er nu blot hvad jeg kan stille op, hvis jeg gerne vil
ende med følgende "sikkerhed":

For så vidt muligt undgå at kompromittere mine homebank og OCES
adgang, og som minimum finde ud af det med det samme de *er*
kompromitterede. Og derudover undgå bøvlet med at lave en
reinstallation med tilhørende konfiguration.

Det eneste jeg kan komme på er at sikre de kritiske filer på en
USB-dims, men hvordan sikrer jeg mig så imod en keyboardlogger
og/eller en resident process der bare venter på at jeg mounter dimsen?



Forslag modtages med glæde.


--
/Wegge <http://wiki.wegge.dk>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge
mailto:awegge@gmail.com - Invitationer på FCFS basis

 
 
Alex Holst (05-01-2005)
Kommentar
Fra : Alex Holst


Dato : 05-01-05 01:54

Anders Wegge Jakobsen wrote:
> Vigtige data:
>
> - Passwordløs RSA-nøgle til automatisk backup

Hvor til/fra? Du kan benytte command= og from= i authorized_keys til at
begraense hvorfra og hvad skade man kan udrette hvis man skulle faa fat
i den noegle.

> Alt sammen residerende på min linuxmaskine som jeg stik imod alle
> anbefalinger bruger som http/ftp/dns server, samtidig med at den er
> min personlige maskine.

Er det noget du kan/vil aendre paa? Du kan outsource driften af DNS til
f.eks. gratisdns.dk og koebe et billigt webhotel ude i byen. Mange af
dem giver mulighed for at uploade data via ftp som ikke noedvendigvis
placeres i roden af et webdir. Handy metode til backup af mindre klumper
af data. Du kan evt. kryptere dem foerst og opbevare krypteringsnoeglen
derhjemme.

Selv en anstaendig udbyder som f.eks. pil.dk tager kun smaapenge for et
webhotel, deres selfcare er laekker og den metode de benytter til at
patche alle deres maskiner paa faa sekunder er implementeret efter en af
mine ideer. (Jeg har ingen oekonomiske interesser hos pil).

Selv i situationer hvor der er data som du gerne vil beholde paa din
maskine og tilbyde adgang til via ftp/http kan du filtre saa kun
godkendte IP addresser eller ranges kan tilgaa disse services.

> Apache kører med en upriviligeret konto, og bind er chrooted(), men
> ellers har jeg ikke gjort andet end at holde mig ajour med de
> sikkerhedsrettelser der kommer til Fedora.
>
> Spørgsmålet er nu blot hvad jeg kan stille op, hvis jeg gerne vil
> ende med følgende "sikkerhed":

Jeg ville helt klart definere reglen "ingen unoedvendige services" og
derefter soege at goere saa mange af ovenstaaende services unoedvendige
(eller svaert tilgaengelige) paa din lokale maskine som beskrevet i
afsnittet med webhotel.

> For så vidt muligt undgå at kompromittere mine homebank og OCES
> adgang, og som minimum finde ud af det med det samme de *er*
> kompromitterede. Og derudover undgå bøvlet med at lave en
> reinstallation med tilhørende konfiguration.

Det behoever ikke vaere boevlet. Jeg kender ikke Fedora, men antager at
den har support for en slags unattended install, saa du relativt let kan
genetablere maskinen praecist som den saa ud.

> Det eneste jeg kan komme på er at sikre de kritiske filer på en
> USB-dims, men hvordan sikrer jeg mig så imod en keyboardlogger
> og/eller en resident process der bare venter på at jeg mounter dimsen?

Du kan kigge paa en smart card loesning, hvis du vil, men jeg ville
bruge energien paa at goere det meget usandsynligt at din arbejdsmaskine
kunne rammes over netvaerket.

Arbejdet med at koere integrity checkers virker i dette tilfaelde mere
omfattende end at reducere angrebsfladen.

Hvad goer du for at forhindre din email klient, browser og
softwarepakkerne du installerer paa maskinen bliver den letteste
indbrudsmetode?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Kasper Dupont (05-01-2005)
Kommentar
Fra : Kasper Dupont


Dato : 05-01-05 08:30

Alex Holst wrote:
>
> Handy metode til backup af mindre klumper
> af data. Du kan evt. kryptere dem foerst og opbevare krypteringsnoeglen
> derhjemme.

Det kræver jo, at du har en backupstrategi for
din nøgle. Alternativer kunne være:

Krypter den hemmelige nøgle med et password og
backupkopier den sammen med dine data. Eller
du kan blot anvende en symmetrisk kryptering
basseret på et password, du kan huske. Så vidt
jeg ved kan gpg klare begge dele.

--
Kasper Dupont

Alex Holst (05-01-2005)
Kommentar
Fra : Alex Holst


Dato : 05-01-05 16:09

Kasper Dupont wrote:
> Alex Holst wrote:
>
>>Handy metode til backup af mindre klumper
>>af data. Du kan evt. kryptere dem foerst og opbevare krypteringsnoeglen
>>derhjemme.
>
> Det kræver jo, at du har en backupstrategi for
> din nøgle. Alternativer kunne være:
>
> Krypter den hemmelige nøgle med et password og
> backupkopier den sammen med dine data. Eller
> du kan blot anvende en symmetrisk kryptering
> basseret på et password, du kan huske. Så vidt
> jeg ved kan gpg klare begge dele.

Jeg synes det falder fint ind under at "opbevare krypteringsnoeglen
derhjemme" - om den opbevares i hovedet eller paa en disk er for saa
vidt underordnet.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Anders Wegge Jakobse~ (05-01-2005)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 05-01-05 19:41

"Alex" == Alex Holst <a@mongers.org> writes:

> Anders Wegge Jakobsen wrote:
>> Vigtige data:
>> - Passwordløs RSA-nøgle til automatisk backup

> Hvor til/fra? Du kan benytte command= og from= i authorized_keys til
> at begraense hvorfra og hvad skade man kan udrette hvis man skulle
> faa fat i den noegle.

Fra min maskine til en af mine venners. Jeg benytter allerede
validering med command=, men jeg havde ikke tænkt over yderligere
restriktioner med from. Jeg kan bare ikke få det stads til at virke,
for uanset hvad jeg putter i from="...", bliver jeg afkrævet et
password. Der skal vist kloges lidt i mansiden til sshd.

>> Alt sammen residerende på min linuxmaskine som jeg stik imod alle
>> anbefalinger bruger som http/ftp/dns server, samtidig med at den er
>> min personlige maskine.

> Er det noget du kan/vil aendre paa? Du kan outsource driften af DNS
> til f.eks. gratisdns.dk og koebe et billigt webhotel ude i

Jeg ville gerne have en seperat maskine stående som server, men
som nyskilt er økonomien er ikke helt til det. Jeg bruger allerede
gratisdns, men det interface der er der tillader desværre ikke
tilføjelse af arbitrære TXT records (eller gjorde ikke sidst jeg
checkede), så jeg er endt med et hidden primary setup.

> byen. Mange af dem giver mulighed for at uploade data via ftp som
> ikke noedvendigvis placeres i roden af et webdir. Handy metode til
> backup af mindre klumper af data. Du kan evt. kryptere dem foerst og
> opbevare krypteringsnoeglen derhjemme.

Jeg har som sagt al den plads jeg har brug for til remote backup, så
det er heldigvis ikke det der er problemet.

> Selv en anstaendig udbyder som f.eks. pil.dk tager kun smaapenge for
> et webhotel, deres selfcare er laekker og den metode de benytter til
> at patche alle deres maskiner paa faa sekunder er implementeret
> efter en af mine ideer. (Jeg har ingen oekonomiske interesser hos
> pil).

Det ville helt klart være nummer et, men hvis jeg havde de 300,- om
måneden som pil.dk skal have, ville jeg hurtigt kunne anskaffe mig en
maskine mere.

> Selv i situationer hvor der er data som du gerne vil beholde paa din
> maskine og tilbyde adgang til via ftp/http kan du filtre saa kun
> godkendte IP addresser eller ranges kan tilgaa disse services.

Ok.

>> Apache kører med en upriviligeret konto, og bind er chrooted(), men
>> ellers har jeg ikke gjort andet end at holde mig ajour med de
>> sikkerhedsrettelser der kommer til Fedora.
>> Spørgsmålet er nu blot hvad jeg kan stille op, hvis jeg gerne vil
>> ende med følgende "sikkerhed":

> Jeg ville helt klart definere reglen "ingen unoedvendige services"
> og derefter soege at goere saa mange af ovenstaaende services
> unoedvendige (eller svaert tilgaengelige) paa din lokale maskine som
> beskrevet i afsnittet med webhotel.

Det lyder fornuftigt. Det må så som udgangspunkt gå ud på at begrænse
adgangen til min DNS til kun at omfatte maskinerne hos gratisdns.

>> For så vidt muligt undgå at kompromittere mine homebank og OCES
>> adgang, og som minimum finde ud af det med det samme de *er*
>> kompromitterede. Og derudover undgå bøvlet med at lave en
>> reinstallation med tilhørende konfiguration.

> Det behoever ikke vaere boevlet. Jeg kender ikke Fedora, men antager
> at den har support for en slags unattended install, saa du relativt
> let kan genetablere maskinen praecist som den saa ud.

Det kan den, men eftersom rpm ikke er det mest geniale format, ender
man med risikoen for linux-udgaven af Windows' dll hell. Men ellers
har du ret. Med en fungerende backup af /etc og dele af /var, samt en
liste over de installerede rpm'er, er det ikke så slemt.

>> Det eneste jeg kan komme på er at sikre de kritiske filer på en
>> USB-dims, men hvordan sikrer jeg mig så imod en keyboardlogger
>> og/eller en resident process der bare venter på at jeg mounter
>> dimsen?

> Du kan kigge paa en smart card loesning, hvis du vil, men jeg ville
> bruge energien paa at goere det meget usandsynligt at din
> arbejdsmaskine kunne rammes over netvaerket.

> Arbejdet med at koere integrity checkers virker i dette tilfaelde mere
> omfattende end at reducere angrebsfladen.

> Hvad goer du for at forhindre din email klient, browser og
> softwarepakkerne du installerer paa maskinen bliver den letteste
> indbrudsmetode?

Ikke specielt meget. Jeg bruger en tekstbaseret MUA/NUA, og jeg har
aldrig hørt om sikkerhedsproblemer i Gnus. Min browser bliver løbende
opdateret, når der kommer et sikkerheds-release. Desuden får den ikke
lov til at køre java medmindre det virkeligt er nødvendigt. Softwaren
er nok et ømt punkt. Har regner jeg implicit med at hvis pakken er
downloadet det rigtige sted fra, og den er signeret med den rigtige
PGP nøgle, er den uskadelig. Så hvis der er nogen der kompromitterer
Redhat, er jeg nok på spanden.

--
/Wegge <http://wiki.wegge.dk>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge
mailto:awegge@gmail.com - Invitationer på FCFS basis

Kasper Dupont (05-01-2005)
Kommentar
Fra : Kasper Dupont


Dato : 05-01-05 21:45

Anders Wegge Jakobsen wrote:
>
> Med en fungerende backup af /etc og dele af /var, samt en
> liste over de installerede rpm'er, er det ikke så slemt.

Sådan en liste skriver cron.daily til /var/log/rpmpkgs

--
Kasper Dupont

Anders Wegge Jakobse~ (05-01-2005)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 05-01-05 23:57

"Kasper" == Kasper Dupont <kasperd@daimi.au.dk> writes:

> Anders Wegge Jakobsen wrote:
>>
>> Med en fungerende backup af /etc og dele af /var, samt en
>> liste over de installerede rpm'er, er det ikke så slemt.

> Sådan en liste skriver cron.daily til /var/log/rpmpkgs

Det gør den nemlig. Det er også derfor jeg tager backup af den.

--
/Wegge <http://wiki.wegge.dk>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge
mailto:awegge@gmail.com - Invitationer på FCFS basis

Alex Holst (05-01-2005)
Kommentar
Fra : Alex Holst


Dato : 05-01-05 23:03

Anders Wegge Jakobsen wrote:
> Fra min maskine til en af mine venners. Jeg benytter allerede
> validering med command=, men jeg havde ikke tænkt over yderligere
> restriktioner med from. Jeg kan bare ikke få det stads til at virke,
> for uanset hvad jeg putter i from="...", bliver jeg afkrævet et
> password. Der skal vist kloges lidt i mansiden til sshd.

from= i authorized_keys fjerner ikke behovet for at angive en
adgangskode hvis den private noegle er krypteret. Det er derimod en
instruktion til sshd om at forsoeg paa at logge ind med den private
noegle til den paagaeldende public noegle kun tillades fra de angivne IP
adresser.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Anders Wegge Jakobse~ (05-01-2005)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 05-01-05 23:59

"Alex" == Alex Holst <a@mongers.org> writes:

> Anders Wegge Jakobsen wrote:
>> Fra min maskine til en af mine venners. Jeg benytter allerede
>> validering med command=, men jeg havde ikke tænkt over yderligere
>> restriktioner med from. Jeg kan bare ikke få det stads til at virke,
>> for uanset hvad jeg putter i from="...", bliver jeg afkrævet et
>> password. Der skal vist kloges lidt i mansiden til sshd.

> from= i authorized_keys fjerner ikke behovet for at angive en
> adgangskode hvis den private noegle er krypteret. Det er derimod en
> instruktion til sshd om at forsoeg paa at logge ind med den private
> noegle til den paagaeldende public noegle kun tillades fra de
> angivne IP adresser.

Det er jeg godt klar over. Pointen er bare at eftersom det er en
nøgle uden password, undrer det mig en del at jeg alligevl bliver
afkrævet et login, såsnart jeg tilføjer from="
0x3e42e105.adsl.cybercity.dk" til .ssh/authorized_keys på den anden
maskine.

--
/Wegge <http://wiki.wegge.dk>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge
mailto:awegge@gmail.com - Invitationer på FCFS basis

Alex Holst (06-01-2005)
Kommentar
Fra : Alex Holst


Dato : 06-01-05 03:23

Anders Wegge Jakobsen wrote:
> Det er jeg godt klar over. Pointen er bare at eftersom det er en
> nøgle uden password, undrer det mig en del at jeg alligevl bliver
> afkrævet et login, såsnart jeg tilføjer from="
> 0x3e42e105.adsl.cybercity.dk" til .ssh/authorized_keys på den anden
> maskine.

Den forstaar jeg ikke. Kan du omformulere eller vise et transcript? Brug
ioevrigt IP adresser frem for DNS navne.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste