---

Jeg skal til at lukke brugere ind på min desktop-computer via. SSH.
Hvilke sikkerhedsaspekter skal jeg overveje? Jeg har allerede givet
alle $HOMEs mode 700, alle konfigurationsfiler med kodeord i passende
rettigheder og slået afslørende logfiler fra (hellere det, end bare
strengere rettigheder).

Hvad mere skal jeg tænke på? Ja, det afhænger selvfølgeligt af hvad
jeg ellers kører, men kan der siges noget generelt?

Det er ikke "fjenden" jeg lukker ind, så der er ingen grund til at
være paranoid, men alligevel... Practical jokes er jeg også helst
foruden. :)

---

On 2007-01-23, Lars Stokholm <this@is.invalid> wrote:
> Jeg skal til at lukke brugere ind på min desktop-computer via. SSH.
> Hvilke sikkerhedsaspekter skal jeg overveje? Jeg har allerede givet
> alle $HOMEs mode 700, alle konfigurationsfiler med kodeord i passende
> rettigheder og slået afslørende logfiler fra (hellere det, end bare
> strengere rettigheder).
>
> Hvad mere skal jeg tænke på? Ja, det afhænger selvfølgeligt af hvad
> jeg ellers kører, men kan der siges noget generelt?
>
> Det er ikke "fjenden" jeg lukker ind, så der er ingen grund til at
> være paranoid, men alligevel... Practical jokes er jeg også helst
> foruden. :)

Og så glemmer man et par ting i farten. For læringens skyld vil
jeg også gerne vide, om jeg kan stramme tøjlerne, hvis brugerne
kun skal kunne down- og uploade filer via SFTP.

Jeg fandt også lige ud af, at dette nok var nødvendigt, så en
bruger ikke kan se hvilke processer andre brugere kører:
security.bsd.see_other_uids=0

Dermed er det vist også afsløret, at jeg bruger (Free)BSD.

---

Lars Stokholm wrote:
> Og så glemmer man et par ting i farten. For læringens skyld vil
> jeg også gerne vide, om jeg kan stramme tøjlerne, hvis brugerne
> kun skal kunne down- og uploade filer via SFTP.

Hvis vi ser bort fra 'reglen' om at servere kører services og
workstations ikke gør, så:

Overvej på det kraftigste at bruge ssh nøgler fremfor statiske kodeord.

Du kan bruge 'restricted' delen af din shell til at begrænse hvilke
kommandoer brugeren kan køre efter login. Alternativt kan du bruge bruge
command= (i authorized_keys eller i sshds Match feature) til at tvinge
en bestemt kommando til at køre ved login.

Brugeren kan f.eks. tvinges til at køre /usr/libexec/sftp-server ved
login og vil derfor ikke kunne andet end sftp.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Tue, 23 Jan 2007 02:11:37 +0100, Lars wrote:

> Hvad mere skal jeg tænke på? Ja, det afhænger selvfølgeligt af hvad
> jeg ellers kører, men kan der siges noget generelt?

En lille ting:

Klog af skade plejer jeg at lave en gruppe, som brugere skal være i
for at have lov til at ssh'e ind.

(Dette for at undgå at script-kiddies gætter et svagt kodeord på,
f.eks., en midlertidigt og hurtigt oprettet test-bruger man har glemt
at slette igen).


Mvh.

--
"It is time to take out the trash, and we need to Adam Sjøgren
stop supporting pay basis distros such as communist asjo@koldfront.dk
Redhat. They are charging us for the stuff thats
spose to be free."

---

On 2007-01-23, Lars Stokholm <this@is.invalid> wrote:

| Det er ikke "fjenden" jeg lukker ind, så der er ingen grund til at
| være paranoid, men alligevel... Practical jokes er jeg også helst
| foruden. :)

* Hvis det kan lade sig gøre tillad _kun_ authentication vh.a. nøgler og
ikke vh.a. password. I dag hvor USB nøgler stortset ingen ting koster,
behøver man jo blot at have sine nøgler på den. Min er desværre gået i
stykker, men jeg havde de oprindelige nøgler (altså de nøgler jeg
generede på mit unix system), samt putty og konverterede nøgler således
putty kunne bruge dem (det sker nu man kommer forbi en windows maskine i
ny og næ).

* Tillad ikke root login.

* Tillad kun SSH protocol 2. Der er visse problemer med SSH protocol 1.

Jeg ville gerne have henvist dig til Alex Holsts "I seng med SSH", men
kunne desværre ikke finde den (Hvorfor ligger den ikke på din hjemmeside
mere, Alex?).

--
Bo Simonsen | http://bo.geekworld.dk
Datamatiker, stud.scient | bo@geekworld.dk

"The question of whether computers can think is like the question of
whether submarines can swim. "

-- Dijkstra

---

Bo Simonsen wrote:
> Jeg ville gerne have henvist dig til Alex Holsts "I seng med SSH", men
> kunne desværre ikke finde den (Hvorfor ligger den ikke på din hjemmeside
> mere, Alex?).

Den har vist aldrig skiftet plads.

   http://mongers.org/ssh

(google finder den, når man søger på titlen)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On 2007-01-23, Alex Holst <a@mongers.org> wrote:
| Bo Simonsen wrote:
|> Jeg ville gerne have henvist dig til Alex Holsts "I seng med SSH", men
|> kunne desværre ikke finde den (Hvorfor ligger den ikke på din hjemmeside
|> mere, Alex?).
|
| Den har vist aldrig skiftet plads.
|
|    http://mongers.org/ssh
|
| (google finder den, når man søger på titlen)

Ah jeg antog bare den var forsvundet, da der ikke var henvisning til den
fra /stuff. Glimrende guide iøvrigt.

--
Bo Simonsen | http://bo.geekworld.dk
Datamatiker, stud.scient | bo@geekworld.dk

"The question of whether computers can think is like the question of
whether submarines can swim. "

-- Dijkstra