/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
hvad gør i ved IP-adresser der forsø
Fra : Santa Claus


Dato : 11-05-08 00:26

Hej NG,

Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?

Gør i noget som helst?

Hvis i f.eks. har ftp eller ssh-server kørende og kan se i loggen at den
samme IP prøver at logge ind som root (og det er kun jer selv der har
root password) - hvad gør i så ved det (om noget)?


Jeg går udfra at vi alle ved at hacking er ulovligt, men der er vel
ingen der alligevel anmelder den slags til politiet, er der?

De har jo lidt svært ved at stole på om tingene er rigtige eller ej,
fordi enhver kan vel manipulere med en log...?

** Posted from http://www.teranews.com **

 
 
Jørn Hundebøll (11-05-2008)
Kommentar
Fra : Jørn Hundebøll


Dato : 11-05-08 02:13

Santa Claus wrote:
> Hej NG,
>
> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>
> Gør i noget som helst?
>
> Hvis i f.eks. har ftp eller ssh-server kørende og kan se i loggen at den
> samme IP prøver at logge ind som root (og det er kun jer selv der har
> root password) - hvad gør i så ved det (om noget)?

Nu er det mere hvad jeg gør for at undgå nogen forsøge at logge ind - og
dermed fylde min logfil med garbage. Jeg har simpelthen lukket både sshd
og proftod ned, men kan aktivere dem ved at tilgå en skjult side på min
webserver (og en tilsvarende for at stoppe services igen). Derved kan
jeg via en browser lige starte sshd - logge ind (og stoppe servicen igen
- uden at jeg bliver smidt ud - men andre kan ikke looge ind). Derved er
der ingen services som svarer på respektive porte - da ingen services
kører, og dermed ingen hacking forsøg - på ssh/ftp.

Før dette var omkring 99% af min logfiler fyldt med mislykkede forsøg på
at logge ind.

Jørn

Klaus Alexander Seis~ (11-05-2008)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 11-05-08 08:33

Jørn Hundebøll skrev:

> Før dette var omkring 99% af min logfiler fyldt med mislykkede
> forsøg på at logge ind.

Logfiler er billige, og mange loglinjer med fejlslagne indbrudsforsøg
komprimerer godt, så er det meget andet end et æstestisk problem?

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

Andreas Plesner Jaco~ (11-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 11-05-08 10:30

On 2008-05-11, Klaus Alexander Seistrup <klaus@seistrup.dk> wrote:
>
>> Før dette var omkring 99% af min logfiler fyldt med mislykkede
>> forsøg på at logge ind.
>
> Logfiler er billige, og mange loglinjer med fejlslagne indbrudsforsøg
> komprimerer godt, så er det meget andet end et æstestisk problem?

Ihvertfald langt billigere end at give en webserver rettigheder til at
starte services.

--
Andreas

Jørn Hundebøll (12-05-2008)
Kommentar
Fra : Jørn Hundebøll


Dato : 12-05-08 12:19

Klaus Alexander Seistrup wrote:
> Jørn Hundebøll skrev:
>
>> Før dette var omkring 99% af min logfiler fyldt med mislykkede
>> forsøg på at logge ind.
>
> Logfiler er billige, og mange loglinjer med fejlslagne indbrudsforsøg
> komprimerer godt, så er det meget andet end et æstestisk problem?

Det er et rent æstestisk problem - enig.

og sikkerhedsmæssigt - ja, jeg har intet ændret på webserveren - jeg har
lavet et script, som alene har lov til at starte eller stoppe ssh
serveren. Det ser jeg ikke som et stort problem.

Jørn

Michael Rasmussen (12-05-2008)
Kommentar
Fra : Michael Rasmussen


Dato : 12-05-08 20:49

On Mon, 12 May 2008 13:19:25 +0200, Jørn Hundebøll
<spamnews5@dblue.dk> wrote:

>og sikkerhedsmæssigt - ja, jeg har intet ændret på webserveren - jeg har
>lavet et script, som alene har lov til at starte eller stoppe ssh
>serveren. Det ser jeg ikke som et stort problem.

Tja, scriptet skal vel køre som root for at kunne starte / stoppe en
tjeneste som ssh ??

Åbner det ikke muligheder for misbrug ?

<mlr>




Klaus Alexander Seis~ (12-05-2008)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 12-05-08 20:53

Michael Rasmussen skrev:

> Tja, scriptet skal vel køre som root for at kunne starte /
> stoppe en tjeneste som ssh ??

Ikke direkte, man kan give en upriviligeret bruger lov til at
benytte sudo uden adgangskode.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 13:44

Jørn Hundebøll wrote:
> Santa Claus wrote:
>> Hej NG,
>>
>> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>>
>> Gør i noget som helst?
>>
>> Hvis i f.eks. har ftp eller ssh-server kørende og kan se i loggen at
>> den samme IP prøver at logge ind som root (og det er kun jer selv der
>> har root password) - hvad gør i så ved det (om noget)?
>
> Nu er det mere hvad jeg gør for at undgå nogen forsøge at logge ind - og

Ja, ok. Men det er også relevant...

> dermed fylde min logfil med garbage. Jeg har simpelthen lukket både sshd
> og proftod ned, men kan aktivere dem ved at tilgå en skjult side på min
> webserver (og en tilsvarende for at stoppe services igen). Derved kan

Det kræver så at du har en webserver kørende 24/7/365... Det orker jeg
ikke lige nu... Måske en anden gang, men ikke foreløbigt...

> jeg via en browser lige starte sshd - logge ind (og stoppe servicen igen
> - uden at jeg bliver smidt ud - men andre kan ikke looge ind). Derved er
> der ingen services som svarer på respektive porte - da ingen services
> kører, og dermed ingen hacking forsøg - på ssh/ftp.
>
> Før dette var omkring 99% af min logfiler fyldt med mislykkede forsøg på
> at logge ind.

Ok... Det kræver jo at du har webserver kørende. Jeg har også overvejet
noget i den dur... Der findes vel også tekstbaserede mail-programmer.
Måske kan man lave det så man kan starte og stoppe sshd ved at sende en
mail til en mail-adresse...?


** Posted from http://www.teranews.com **

Mogens Kjaer (11-05-2008)
Kommentar
Fra : Mogens Kjaer


Dato : 11-05-08 07:43

Santa Claus wrote:
> Hej NG,
>
> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?

denyhosts

Mogens

--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 13:46

Mogens Kjaer wrote:
> Santa Claus wrote:
>> Hej NG,
>>
>> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>
> denyhosts

Ja, den kan jeg kigge lidt på...
** Posted from http://www.teranews.com **

Thorbjørn Ravn Ander~ (11-05-2008)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 11-05-08 07:58

Santa Claus skrev den 11-05-2008 01:25:
> Hej NG,
>
> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>
> Gør i noget som helst?
>
> Hvis i f.eks. har ftp eller ssh-server kørende og kan se i loggen at den
> samme IP prøver at logge ind som root (og det er kun jer selv der har
> root password) - hvad gør i så ved det (om noget)?

Din ftp og ssh skulle gerne være sat op til at man ikke kan logge ind
udefra som root. Hvis de ikke er det, vil jeg foreslå at du retter det til.

--
Thorbjørn Ravn Andersen "... plus... Tubular Bells!"

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 13:47

Thorbjørn Ravn Andersen wrote:
> Santa Claus skrev den 11-05-2008 01:25:
>> Hej NG,
>>
>> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>>
>> Gør i noget som helst?
>>
>> Hvis i f.eks. har ftp eller ssh-server kørende og kan se i loggen at
>> den samme IP prøver at logge ind som root (og det er kun jer selv der
>> har root password) - hvad gør i så ved det (om noget)?
>
> Din ftp og ssh skulle gerne være sat op til at man ikke kan logge ind
> udefra som root. Hvis de ikke er det, vil jeg foreslå at du retter det
> til.

Det er de, tak... Jeg vil prøve at kigge på denyhosts som en forbedring...
** Posted from http://www.teranews.com **

Christian E. Lysel (11-05-2008)
Kommentar
Fra : Christian E. Lysel


Dato : 11-05-08 10:43


On Sun, 2008-05-11 at 09:30 +0000, Andreas Plesner Jacobsen wrote:
> Ihvertfald langt billigere end at give en webserver rettigheder til at
> starte services.

Rettigheder?

http://groups.google.com/group/dk.edb.system.unix/msg/7c8b8da83de43730
er et eksempel hvor webserveren ikke får flere rettigheder.




Andreas Plesner Jaco~ (11-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 11-05-08 11:06

On 2008-05-11, Christian E. Lysel <christian@example.net> wrote:
>
>> Ihvertfald langt billigere end at give en webserver rettigheder til at
>> starte services.
>
> Rettigheder?
>
> http://groups.google.com/group/dk.edb.system.unix/msg/7c8b8da83de43730
> er et eksempel hvor webserveren ikke får flere rettigheder.

Den har da netop fået rettigheder til at starte ssh.

--
Andreas

Christian E. Lysel (11-05-2008)
Kommentar
Fra : Christian E. Lysel


Dato : 11-05-08 11:09


On Sun, 2008-05-11 at 10:05 +0000, Andreas Plesner Jacobsen wrote:
> > http://groups.google.com/group/dk.edb.system.unix/msg/7c8b8da83de43730
> > er et eksempel hvor webserveren ikke får flere rettigheder.
>
> Den har da netop fået rettigheder til at starte ssh.

Det er startssh brugeren der har fået rettigheden via sudo.



Andreas Plesner Jaco~ (11-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 11-05-08 11:12

On 2008-05-11, Christian E. Lysel <christian@example.net> wrote:

>> > http://groups.google.com/group/dk.edb.system.unix/msg/7c8b8da83de43730
>> > er et eksempel hvor webserveren ikke får flere rettigheder.
>>
>> Den har da netop fået rettigheder til at starte ssh.
>
> Det er startssh brugeren der har fået rettigheden via sudo.

Og dermed indirekte webserveren. Der er så mange "men"er til den løsning
at jeg ikke vil anbefale nogen som helst at kaste sig ud i den uden at
forstå den. Hvis man på den anden side forstår den ville jeg ikke
forvente at man var fjollet nok til at stoppe sin sshd i tide og utide.

--
Andreas

Alex Holst (11-05-2008)
Kommentar
Fra : Alex Holst


Dato : 11-05-08 13:34

Santa Claus <free_presents@greenland> wrote:
> Hvis i f.eks. har ftp eller ssh-server k?rende og kan se i loggen at den
> samme IP pr?ver at logge ind som root (og det er kun jer selv der har
> root password) - hvad g?r i s? ved det (om noget)?

Jeg bruger http://lowerca.se/notaweblog/2005-03-30/ til at droppe en
bestemt ond ssh klient fordi det forstyrrer mindre i loggen. SSH
tillader naturligvis kun logins med to-faktor auth.

Hvis jeg virkeligt havde brug for at køre en ftp service, ville jeg nok
bare bruge loganalyse til at blocke IP adresser der forsøger med dårligt
password mere end X gange i døgnet (hvor X er en passende værdi mellem
150 og 500). Under alle omstændigheder ville adgang for root og andre
system-brugere være deaktiveret.

Har du mulighed for at smide ftp ud til fordel for sftp og kræve logins
med ssh nøgler?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 13:54

Alex Holst wrote:
> Santa Claus <free_presents@greenland> wrote:
>> Hvis i f.eks. har ftp eller ssh-server k?rende og kan se i loggen at den
>> samme IP pr?ver at logge ind som root (og det er kun jer selv der har
>> root password) - hvad g?r i s? ved det (om noget)?
>
> Jeg bruger http://lowerca.se/notaweblog/2005-03-30/ til at droppe en
> bestemt ond ssh klient fordi det forstyrrer mindre i loggen. SSH
> tillader naturligvis kun logins med to-faktor auth.

Okay, der står: ...identify themselves as a "SSH-2.0-libssh-0.1" client.

Hvorfor er den bestemt ond? Og er du sikker på ikke at ramme nogen
forkerte logins?

To-faktor auth? Er det noget med public/private keys eller PAM, som jeg
har set let om på nettet (uden at forstå det helt)... Måske jeg skulle
prøve sådan noget en dag...

> Hvis jeg virkeligt havde brug for at køre en ftp service, ville jeg nok
> bare bruge loganalyse til at blocke IP adresser der forsøger med dårligt
> password mere end X gange i døgnet (hvor X er en passende værdi mellem
> 150 og 500). Under alle omstændigheder ville adgang for root og andre
> system-brugere være deaktiveret.

Jeg tror slet ikke min ssh-server tillader så meget af sig selv... Den
går ihvertfald langsommere og langsommere, når man taster forkert
password ind.

Tilsidst tror jeg nok den selv blokerer, efter en vis øvre grænse er
nået........ Tror jeg... Ellers kan man ihvertfald vistnok få det lavet
sådan. Det må jeg lige følge op på en anden dag...

> Har du mulighed for at smide ftp ud til fordel for sftp og kræve logins
> med ssh nøgler?

Tjooh, jeg skal bare lige finde ud af hvordan man gør

Men jeg har set et par websider omkring det med nøgler. Det burde jeg
nok kunne finde ud af (og vil helt sikkert prøve det en dag)...


** Posted from http://www.teranews.com **

Alex Holst (11-05-2008)
Kommentar
Fra : Alex Holst


Dato : 11-05-08 14:32

Santa Claus <free_presents@greenland> wrote:
> Okay, der st?r: ...identify themselves as a "SSH-2.0-libssh-0.1" client.
>
> Hvorfor er den bestemt ond? Og er du sikker p? ikke at ramme nogen
> forkerte logins?

Fordi det er libssh der bliver brugt i de loginforsøg som jeg og andre
har observeret. Jeg kender ikke andre der benytter sig netop af libssh
0.1. Det er bestemt ikke en sikkerhedsfeature - det var bare hurtigere
i tid end at forklare loganalyseren at den skulle se bort fra en klump
beskeder.

> To-faktor auth? Er det noget med public/private keys eller PAM, som jeg
> har set let om p? nettet (uden at forst? det helt)... M?ske jeg skulle
> pr?ve s?dan noget en dag...

To faktor er f.eks. noget du har og noget du ved: en krypteret, privat
ssh nøgle og et tilhørende kodeord.

> Jeg tror slet ikke min ssh-server tillader s? meget af sig selv... Den
> g?r ihvertfald langsommere og langsommere, n?r man taster forkert
> password ind.

Så kører du vist en anden ssh server end den jeg kender.

Hvis du skulle være i tvivl, vil jeg godt bekræfte, at forslaget i et
andet indlæg om at starte og slukke sshd gennem skjulte websider er dybt
idiotisk. Forslaget viser mangel på generel forståelse af at
"simplicitet er din ven" og specifikt mangel på forståelse omkring hvad
openssh kan nu om dage. Det er heller ikke nogen god ide, at starte sshd
baseret på indgående mail.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 17:26

Alex Holst wrote:
>> Jeg tror slet ikke min ssh-server tillader s? meget af sig selv... Den
>> g?r ihvertfald langsommere og langsommere, n?r man taster forkert
>> password ind.
>
> Så kører du vist en anden ssh server end den jeg kender.

Muligvist. Men jeg tror nok den lukker af i noget tid efter for mange
forsøg... Jeg kan se der står noget i loggen der bekræfter det, men
ellers er der nogen værktøjer jeg lige skal finde ud af og så kommer det
ihvertfald til at blive sådan.

> Hvis du skulle være i tvivl, vil jeg godt bekræfte, at forslaget i et
> andet indlæg om at starte og slukke sshd gennem skjulte websider er dybt
> idiotisk. Forslaget viser mangel på generel forståelse af at

Da ikke mere idiotisk end at køre 24/7/365, hvis man kun er under 5
brugere der sjældent skal bruge det.

> "simplicitet er din ven" og specifikt mangel på forståelse omkring hvad
> openssh kan nu om dage. Det er heller ikke nogen god ide, at starte sshd
> baseret på indgående mail.

Hvad mener du så openssh kan "nu om dage"?

Lad os lige blive enige om at desto kortere tid ssh er åbent, desto
mindre risiko for at blive hacket - alt andet lige og med de samme
ssh-indstillinger.

Hvis ikke du er enig i det, så syntes jeg at det er dig der mangler
noget forståelse medmindre du kommer med en utroligt og ufattelig god
forklaring lige om lidt, som jeg har overset?

Det med websiderne/mail og lignende mener jeg giver nærmest 100%
beskyttelse og langt bedre end at have ssh kørende 24/7/365 fordi det er
utroligt mange gange sværere at hacke (når ikke man ved hvordan man skal
gøre det).

** Posted from http://www.teranews.com **

Alex Holst (11-05-2008)
Kommentar
Fra : Alex Holst


Dato : 11-05-08 19:22

Santa Claus <free_presents@greenland> wrote:
> Det med websiderne/mail og lignende mener jeg giver n?rmest 100%
> beskyttelse [...]

100%? Så har du i hvert fald ikke brug for mit input. Du har tydeligvis
styr på det der sikkerheds-noget.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 22:30

Alex Holst wrote:
> Santa Claus <free_presents@greenland> wrote:
>> Det med websiderne/mail og lignende mener jeg giver n?rmest 100%
>> beskyttelse [...]
>
> 100%? Så har du i hvert fald ikke brug for mit input. Du har tydeligvis
> styr på det der sikkerheds-noget.

Du har sikkert ret i at jeg ikke behøves dit input, hvis du ikke ved
eller ikke forstår at risikoen for at blive hacket formindskes
proportionelt med tiden hvor serveren ikke er tilsluttet.

** Posted from http://www.teranews.com **

Michael Zedeler (13-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 13-05-08 20:35

Santa Claus wrote:
> Alex Holst wrote:
>> Santa Claus <free_presents@greenland> wrote:
>>> Det med websiderne/mail og lignende mener jeg giver n?rmest 100%
>>> beskyttelse [...]
>>
>> 100%? Så har du i hvert fald ikke brug for mit input. Du har tydeligvis
>> styr på det der sikkerheds-noget.
>
> Du har sikkert ret i at jeg ikke behøves dit input, hvis du ikke ved
> eller ikke forstår at risikoen for at blive hacket formindskes
> proportionelt med tiden hvor serveren ikke er tilsluttet.

Det har du da fuldstændig ret i, men det er ikke dig der styrer
frekvensen. Hvis du har 10 indbrudsforsøg i sekundet (et ikke
urealistisk tal), kan det da være fløjtende ligegyldigt om du lukker når
ud er færdig med ssh. Du har stadigvæk haft flere tusinde forsøg i den
korte tid, du havde ssh kørende.

Konkret er der jo netop i skrivende stund blevet offentliggjort en meget
alvorlig sikkerhedsbrist, der gør at alle nyere ssh-installationer på
debian er pivåbne. I det konkrete tilfælde bidrager din ide ikke med
nogen øget sikkerhed. Til gengæld kan det have taget så lang tid at
sætte op og få til at fungere, at du f. eks. ikke har fået et mere
virksomt system som fail2ban eller tripwire installeret.

Den eneste form for sikkerhed, der er interessant, er en der netop kan
klare næsten vilkårligt mange forsøg og hvor du ikke er afhængig af
vejrforholdene på nettet.

Mvh. Michael.

Santa Claus (14-05-2008)
Kommentar
Fra : Santa Claus


Dato : 14-05-08 17:12

Michael Zedeler wrote:
> Santa Claus wrote:
>> Alex Holst wrote:
>>> Santa Claus <free_presents@greenland> wrote:
>>>> Det med websiderne/mail og lignende mener jeg giver n?rmest 100%
>>>> beskyttelse [...]
>>>
>>> 100%? Så har du i hvert fald ikke brug for mit input. Du har tydeligvis
>>> styr på det der sikkerheds-noget.
>>
>> Du har sikkert ret i at jeg ikke behøves dit input, hvis du ikke ved
>> eller ikke forstår at risikoen for at blive hacket formindskes
>> proportionelt med tiden hvor serveren ikke er tilsluttet.
>
> Det har du da fuldstændig ret i, men det er ikke dig der styrer
> frekvensen. Hvis du har 10 indbrudsforsøg i sekundet (et ikke
> urealistisk tal), kan det da være fløjtende ligegyldigt om du lukker når
> ud er færdig med ssh. Du har stadigvæk haft flere tusinde forsøg i den

Gu' kan det ej være ligegyldigt, når du ikke kan kontakte min server i
mere end 5-10 minutter per dag!!!

> korte tid, du havde ssh kørende.

Som du selv skrev: Jeg tror ikke rigtigt jeg har brug for dit input...
Dit input er tåbeligt og viser ingen forståelse for situationen og
præmissen, som kommer herunder:

> Konkret er der jo netop i skrivende stund blevet offentliggjort en meget
> alvorlig sikkerhedsbrist, der gør at alle nyere ssh-installationer på
> debian er pivåbne. I det konkrete tilfælde bidrager din ide ikke med
> nogen øget sikkerhed. Til gengæld kan det have taget så lang tid at
> sætte op og få til at fungere, at du f. eks. ikke har fået et mere
> virksomt system som fail2ban eller tripwire installeret.
>
> Den eneste form for sikkerhed, der er interessant, er en der netop kan
> klare næsten vilkårligt mange forsøg og hvor du ikke er afhængig af
> vejrforholdene på nettet.

Dit input viser at du slet ikke har forstået præmissen om at når
serveren ikke er tilgængelig, så kan den slet ikke hackes!!! Og det er
trods alt bedre end en enhver risiko for at blive hacket, hvor exploits
kan udnyttes...

Jeg har på ingen måder ændret min holdning til noget som helst med dit
såkaldte "input" (jo, jeg kan nu se at det var rigtigt, at jeg ikke
behøvede dit input), og du har på ingen måder fortalt mig noget
afgørende relevant jeg ikke vidste i forvejen og som har nogen som helst
betydning for min situation, hvis det er det du tror...


** Posted from http://www.teranews.com **

Christian Laursen (14-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 14-05-08 17:51

Santa Claus <free_presents@greenland> writes:

> Dit input viser at du slet ikke har forstået præmissen om at når
> serveren ikke er tilgængelig, så kan den slet ikke hackes!!! Og det er
> trods alt bedre end en enhver risiko for at blive hacket, hvor
> exploits kan udnyttes...

"Når serveren ikke er tilgængelig, kan den ikke hackes."

Det er der næppe nogen, der kan være uenige i.

Men i det setup du argumenterer for, er serveren tilgængelig - ikke
hele tiden, men det er heller ikke væsentligt.

--
Christian Laursen

QBIC [6400] (14-05-2008)
Kommentar
Fra : QBIC [6400]


Dato : 14-05-08 20:35

kan du ikke flytte ssh ud på en anden uspiciceret port
jeg havde også en del besøg som jeg ikke rigtig kunne se hvad skulle på min
server
men efter jeg flyttede port så stoppede det.

/ Niels Pedersen http://www.qbic.dk




"Christian Laursen" <xi@borderworlds.dk> skrev i meddelelsen
news:ygfk5hwakyn.fsf@dominion.borderworlds.dk...
> Santa Claus <free_presents@greenland> writes:
>
>> Dit input viser at du slet ikke har forstået præmissen om at når
>> serveren ikke er tilgængelig, så kan den slet ikke hackes!!! Og det er
>> trods alt bedre end en enhver risiko for at blive hacket, hvor
>> exploits kan udnyttes...
>
> "Når serveren ikke er tilgængelig, kan den ikke hackes."
>
> Det er der næppe nogen, der kan være uenige i.
>
> Men i det setup du argumenterer for, er serveren tilgængelig - ikke
> hele tiden, men det er heller ikke væsentligt.
>
> --
> Christian Laursen


Santa Claus (14-05-2008)
Kommentar
Fra : Santa Claus


Dato : 14-05-08 20:44

QBIC [6400] wrote:
> kan du ikke flytte ssh ud på en anden uspiciceret port
> jeg havde også en del besøg som jeg ikke rigtig kunne se hvad skulle på
> min server
> men efter jeg flyttede port så stoppede det.

Jo, jo... Det ved jeg godt, ligesom man kan gøre en masse andre ting (og
det gør jeg også).

Men vi snakker ikke om en enten/eller-løsning. Vi snakker om et
supplement til alt det andet og alligevel er der masser herinde der ikke
forstår at det at slukke en sshd-server er et supplement til alt andet.

** Posted from http://www.teranews.com **

Michael Zedeler (14-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 14-05-08 22:11

Santa Claus wrote:
> Michael Zedeler wrote:
>> Santa Claus wrote:
>>> Alex Holst wrote:
>>>> Santa Claus <free_presents@greenland> wrote:
>>>>> Det med websiderne/mail og lignende mener jeg giver n?rmest 100%
>>>>> beskyttelse [...]
>>>>
>>>> 100%? Så har du i hvert fald ikke brug for mit input. Du har tydeligvis
>>>> styr på det der sikkerheds-noget.
>>>
>>> Du har sikkert ret i at jeg ikke behøves dit input, hvis du ikke ved
>>> eller ikke forstår at risikoen for at blive hacket formindskes
>>> proportionelt med tiden hvor serveren ikke er tilsluttet.
>>
>> Det har du da fuldstændig ret i, men det er ikke dig der styrer
>> frekvensen. Hvis du har 10 indbrudsforsøg i sekundet (et ikke
>> urealistisk tal), kan det da være fløjtende ligegyldigt om du lukker
>> når ud er færdig med ssh. Du har stadigvæk haft flere tusinde forsøg i
>> den
>
> Gu' kan det ej være ligegyldigt, når du ikke kan kontakte min server i
> mere end 5-10 minutter per dag!!!

Jeg har ærligt talt meget svært med at diskutere sikkerhed med folk der
bander og bruger tre udråbstegn som svar på hvad i mine øjne er et
sagligt indlæg.

> Som du selv skrev: Jeg tror ikke rigtigt jeg har brug for dit input...
> Dit input er tåbeligt og viser ingen forståelse for situationen og
> præmissen, som kommer herunder:

Jeg tror min dialog med julemanden slutter her. Held og lykke med
rensdyrene. Rudolf kan sikkert lyse i mørket for dig.

Mvh. Michael.

Santa Claus (15-05-2008)
Kommentar
Fra : Santa Claus


Dato : 15-05-08 18:47

Michael Zedeler wrote:
> Santa Claus wrote:
>> Michael Zedeler wrote:
>>> Santa Claus wrote:
>>>> Alex Holst wrote:
>>>>> Santa Claus <free_presents@greenland> wrote:
>>>>>> Det med websiderne/mail og lignende mener jeg giver n?rmest 100%
>>>>>> beskyttelse [...]
>>>>>
>>>>> 100%? Så har du i hvert fald ikke brug for mit input. Du har
>>>>> tydeligvis
>>>>> styr på det der sikkerheds-noget.
>>>>
>>>> Du har sikkert ret i at jeg ikke behøves dit input, hvis du ikke ved
>>>> eller ikke forstår at risikoen for at blive hacket formindskes
>>>> proportionelt med tiden hvor serveren ikke er tilsluttet.
>>>
>>> Det har du da fuldstændig ret i, men det er ikke dig der styrer
>>> frekvensen. Hvis du har 10 indbrudsforsøg i sekundet (et ikke
>>> urealistisk tal), kan det da være fløjtende ligegyldigt om du lukker
>>> når ud er færdig med ssh. Du har stadigvæk haft flere tusinde forsøg
>>> i den
>>
>> Gu' kan det ej være ligegyldigt, når du ikke kan kontakte min server i
>> mere end 5-10 minutter per dag!!!
>
> Jeg har ærligt talt meget svært med at diskutere sikkerhed med folk der
> bander og bruger tre udråbstegn som svar på hvad i mine øjne er et
> sagligt indlæg.

Jeg kan godt se at du har dine problemer, ligesom jeg selv har det: Jeg
kan nemlig ikke diskutere med folk der ikke forstår logik på et
almindeligt niveau (jeg ønsker det ihvertfald ikke).

>> Som du selv skrev: Jeg tror ikke rigtigt jeg har brug for dit input...
>> Dit input er tåbeligt og viser ingen forståelse for situationen og
>> præmissen, som kommer herunder:
>
> Jeg tror min dialog med julemanden slutter her. Held og lykke med
> rensdyrene. Rudolf kan sikkert lyse i mørket for dig.

Som jeg allerede for lang tid siden skrev:

Jeg har aldrig haft brug for dit input - du er jo ikke (aldrig i tråden)
kommet med noget fornuftigt, såvidt jeg kan skimte...

Ikke engang nu, kommer du med noget fornuftigt...
** Posted from http://www.teranews.com **

Kent Friis (24-05-2008)
Kommentar
Fra : Kent Friis


Dato : 24-05-08 21:53

Den Tue, 13 May 2008 21:34:57 +0200 skrev Michael Zedeler:
>
> Konkret er der jo netop i skrivende stund blevet offentliggjort en meget
> alvorlig sikkerhedsbrist, der gør at alle nyere ssh-installationer på
> debian er pivåbne.

Hvis det er OpenSSL bug'en, så var det noget med at Debians udgave
ikke brugte indholdet af en tilfældig memory-page der sagtens kunne
være initialiseret til 00 00 00... eller FF FF FF af systemet.

Hvis "pivåbne" er det korrekte ord for ikke længere at kigge på data
der sagtens kan være 00 00 00... så er det kun en fordel at den kode
blev fjernet. Så ved man da i det mindste at den er pivåben, fremfor
at sandsynligheden for at den er pivåben afhænger af hvor længe det
er siden systemet er bootet (sandsynligheden for at der vælges en
memory page der har været i brug).

Pågældende "sikkerhedsbrist" er blevet blæst enormt op, faktisk havde
manden der fjernede kodestumpen spurgt på OpenSSL mailing list, og
fået svaret at ændringen ville påvirke keys minimalt. Den tilfældige
memory page bliver blot tilføjet til entropi-bufferen, som en ud af
mange, fordi det ikke kan skade, højst gøre det en smule bedre.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Christian Laursen (11-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 11-05-08 21:51

Santa Claus <free_presents@greenland> writes:

> Lad os lige blive enige om at desto kortere tid ssh er åbent, desto
> mindre risiko for at blive hacket - alt andet lige og med de samme
> ssh-indstillinger.
>
> Hvis ikke du er enig i det, så syntes jeg at det er dig der mangler
> noget forståelse medmindre du kommer med en utroligt og ufattelig god
> forklaring lige om lidt, som jeg har overset?
>
> Det med websiderne/mail og lignende mener jeg giver nærmest 100%
> beskyttelse og langt bedre end at have ssh kørende 24/7/365 fordi det
> er utroligt mange gange sværere at hacke (når ikke man ved hvordan man
> skal gøre det).

Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
server overhovedet. Sådan en er væsentligt mere risikabel at have
kørende.

--
Christian Laursen

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 22:31

Christian Laursen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Lad os lige blive enige om at desto kortere tid ssh er åbent, desto
>> mindre risiko for at blive hacket - alt andet lige og med de samme
>> ssh-indstillinger.
>>
>> Hvis ikke du er enig i det, så syntes jeg at det er dig der mangler
>> noget forståelse medmindre du kommer med en utroligt og ufattelig god
>> forklaring lige om lidt, som jeg har overset?
>>
>> Det med websiderne/mail og lignende mener jeg giver nærmest 100%
>> beskyttelse og langt bedre end at have ssh kørende 24/7/365 fordi det
>> er utroligt mange gange sværere at hacke (når ikke man ved hvordan man
>> skal gøre det).
>
> Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
> forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
> server overhovedet. Sådan en er væsentligt mere risikabel at have
> kørende.

Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!

** Posted from http://www.teranews.com **

Asbjorn Hojmark (12-05-2008)
Kommentar
Fra : Asbjorn Hojmark


Dato : 12-05-08 08:29

On Sun, 11 May 2008 23:30:41 +0200, Santa Claus
<free_presents@greenland> wrote:

> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!

<<plonk>>

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Stig Johansen (12-05-2008)
Kommentar
Fra : Stig Johansen


Dato : 12-05-08 09:33

Asbjorn Hojmark wrote:

> On Sun, 11 May 2008 23:30:41 +0200, Santa Claus
> <free_presents@greenland> wrote:
>
>> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!
>
> <<plonk>>

Undskyld nysgerrigheden, men hvorfor?
'Santa Claus' skriver tidligere:
> Det kræver så at du har en webserver kørende 24/7/365... Det orker jeg
> ikke lige nu... Måske en anden gang, men ikke foreløbigt...

Det er da _Christain_, der blander noget sammen når han skriver:
> Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
> forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
> server overhovedet. Sådan en er væsentligt mere risikabel at have
> kørende.


--
Med venlig hilsen
Stig Johansen

Santa Claus (12-05-2008)
Kommentar
Fra : Santa Claus


Dato : 12-05-08 15:13

Asbjorn Hojmark wrote:
> On Sun, 11 May 2008 23:30:41 +0200, Santa Claus
> <free_presents@greenland> wrote:
>
>> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!
>
> <<plonk>>
>
> -A

Nogen fjolser kan ikke tåle at høre sandheden... Morsomt...
** Posted from http://www.teranews.com **

Allan Willems Joerge~ (12-05-2008)
Kommentar
Fra : Allan Willems Joerge~


Dato : 12-05-08 15:21

Santa Claus <free_presents@greenland> wrote:

> Nogen fjolser kan ikke tåle at høre sandheden... Morsomt...

"Nogle"

Hvis du på nogen måde vil tages seriøst bør du nok geare lidt ned og så
droppe hele paranoia rutinen.

--
Allan Willems Joergensen, OnDemand: http://www.nowhere.dk

"It's a song, you green-blooded Vulcan." - McCoy

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 19:44

Allan Willems Joergensen wrote:
> Santa Claus <free_presents@greenland> wrote:
>
>> Nogen fjolser kan ikke tåle at høre sandheden... Morsomt...
>
> "Nogle"
>
> Hvis du på nogen måde vil tages seriøst bør du nok geare lidt ned og så
> droppe hele paranoia rutinen.

Der er ikke noget paranoia her.
** Posted from http://www.teranews.com **

Christian Laursen (12-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 12-05-08 10:32

Santa Claus <free_presents@greenland> writes:

> Christian Laursen wrote:
>
>> Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
>> forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
>> server overhovedet. Sådan en er væsentligt mere risikabel at have
>> kørende.
>
> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!

Det er til også aldeles ligegyldigt i forhold til pointen.

--
Christian Laursen

Santa Claus (12-05-2008)
Kommentar
Fra : Santa Claus


Dato : 12-05-08 15:19

Christian Laursen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Christian Laursen wrote:
>>
>>> Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
>>> forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
>>> server overhovedet. Sådan en er væsentligt mere risikabel at have
>>> kørende.
>> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!
>
> Det er til også aldeles ligegyldigt i forhold til pointen.

Det er sgu' da ikke "aldeles ligegyldigt", at du ikke fatter hvem det er
herinde, der kører en webserver-løsning med rettigheder til at starte og
stoppe sshd, og jeg så bagefter forklarer dig dette og så et fjols ikke
kan tåle at læse sandheden og plonker mig fordi du ikke fattede hvem der
kørte webserver med ekstra rettigheder og hvem der ikke gør/gjorde...

Det var sådan set ikke mig der lavede nogen tåbelig fejl her - det
gjorde du, i din forkerte påstand... Og jeg blev plonket af fjolset for
at fortælle sandheden og intet andet (idioten havde nok ikke noget
fornuftigt alligevel, men...)

Det er da rimeligt relevant (for at forstå pointen), at man fatter at
jeg ikke kører eller har kørt webserver med ekstra rettigheder og aldrig
har skrevet det!
** Posted from http://www.teranews.com **

Allan Willems Joerge~ (12-05-2008)
Kommentar
Fra : Allan Willems Joerge~


Dato : 12-05-08 15:24

Santa Claus <free_presents@greenland> wrote:

> Det er sgu' da ikke "aldeles ligegyldigt", at du ikke fatter hvem det er
> herinde, der kører en webserver-løsning med rettigheder til at starte og
> stoppe sshd, og jeg så bagefter forklarer dig dette og så et fjols ikke
> kan tåle at læse sandheden og plonker mig fordi du ikke fattede hvem der
> kørte webserver med ekstra rettigheder og hvem der ikke gør/gjorde...

Det var ikke Christian som smed nogen i killfilteret. Godt at se du har
meget styr på det.

--
Allan Willems Joergensen, OnDemand: http://www.nowhere.dk

"69, dude!" -Bill & Ted

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 19:50

Allan Willems Joergensen wrote:
> Santa Claus <free_presents@greenland> wrote:
>
>> Det er sgu' da ikke "aldeles ligegyldigt", at du ikke fatter hvem det er
>> herinde, der kører en webserver-løsning med rettigheder til at starte og
>> stoppe sshd, og jeg så bagefter forklarer dig dette og så et fjols ikke
>> kan tåle at læse sandheden og plonker mig fordi du ikke fattede hvem der
>> kørte webserver med ekstra rettigheder og hvem der ikke gør/gjorde...
>
> Det var ikke Christian som smed nogen i killfilteret. Godt at se du har
> meget styr på det.

Jeg har aldrig påstået det fjols, så ja:

Godt at jeg har styr på det! Jeg er helt enig...

Du har tydeligvist selv gevaldige problemer med at fatte hvad det
handler om, så det er temmeligt overraskende at du så selv prøver at
lade som om du har fattet noget som helst, når det er lige modsat...

Ang. din bemærkning: Prøv læs tilbage, hvad det handler om...

** Posted from http://www.teranews.com **

Allan Willems Joerge~ (13-05-2008)
Kommentar
Fra : Allan Willems Joerge~


Dato : 13-05-08 19:55

Santa Claus <free_presents@greenland> wrote:

> Du har tydeligvist selv gevaldige problemer med at fatte hvad det
> handler om, så det er temmeligt overraskende at du så selv prøver at
> lade som om du har fattet noget som helst, når det er lige modsat...

Jeg forstår fint hvad det handler. Det er dig, der forsøger at forplumre
det med personangreb. Hejhej, hils i killfilteret.

--
Allan Willems Joergensen, OnDemand: http://www.nowhere.dk

"And it seems to you the thing to do would be to isolate the winner"

Thorbjørn Ravn Ander~ (13-05-2008)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 13-05-08 21:37

Santa Claus skrev:

> Jeg har aldrig påstået det fjols, så ja:
>
> Godt at jeg har styr på det! Jeg er helt enig...
>
> Du har tydeligvist selv gevaldige problemer med at fatte hvad det
> handler om, så det er temmeligt overraskende at du så selv prøver at
> lade som om du har fattet noget som helst, når det er lige modsat...

Al erfaring viser at den slags sprogbrug ikke giver positiv karma
herinde. Jeg synes du skulle tale pænt til folk.


--
Thorbjørn Ravn Andersen "... plus ... Tubular Bells!"

Michael Zedeler (13-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 13-05-08 22:16

Thorbjørn Ravn Andersen wrote:
> Santa Claus skrev:
>
>> Jeg har aldrig påstået det fjols, så ja:
>>
>> Godt at jeg har styr på det! Jeg er helt enig...
>>
>> Du har tydeligvist selv gevaldige problemer med at fatte hvad det
>> handler om, så det er temmeligt overraskende at du så selv prøver at
>> lade som om du har fattet noget som helst, når det er lige modsat...
>
> Al erfaring viser at den slags sprogbrug ikke giver positiv karma
> herinde. Jeg synes du skulle tale pænt til folk.

Pas på med at drille julemanden. Du risikerer ikke at få gaver næste gang.

Mvh. Michael.

Christian Laursen (12-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 12-05-08 16:14

Santa Claus <free_presents@greenland> writes:

> Christian Laursen wrote:
>> Santa Claus <free_presents@greenland> writes:
>>
>>> Christian Laursen wrote:
>>>
>>>> Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
>>>> forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
>>>> server overhovedet. Sådan en er væsentligt mere risikabel at have
>>>> kørende.
>>> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!
>>
>> Det er til også aldeles ligegyldigt i forhold til pointen.
>
> Det er sgu' da ikke "aldeles ligegyldigt", at du ikke fatter hvem det
> er herinde, der kører en webserver-løsning med rettigheder til at
> starte og stoppe sshd, og jeg så bagefter forklarer dig dette og så et
> fjols ikke kan tåle at læse sandheden og plonker mig fordi du ikke
> fattede hvem der kørte webserver med ekstra rettigheder og hvem der
> ikke gør/gjorde...

Skift "du" ud med "man", hvis du ikke kan abstrahere fra den konkrete
formulering og fokusere på det det handler om.

--
Christian Laursen

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 20:05

Christian Laursen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Christian Laursen wrote:
>>
>>> Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
>>> forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
>>> server overhovedet. Sådan en er væsentligt mere risikabel at have
>>> kørende.
>> Nu er det ligesom ikke mig der har nogen web server kørende, Einstein!!!
>
> Det er til også aldeles ligegyldigt i forhold til pointen.

Nu fortæller jeg dig den pointe jeg kom med, fordi jeg er nervøs for om
nogen ikke har fattet det endnu... Den 11/5 skrev jeg og dig:

------
> > Det med websiderne/mail og lignende mener jeg giver nærmest 100%
> > beskyttelse og langt bedre end at have ssh kørende 24/7/365 fordi
> > det er utroligt mange gange sværere at hacke (når ikke man
> > ved hvordan man skal gøre det).

Hvis du er så bekymret for at have sshd kørende hele tiden på grund af
forsøg på hacking forstår jeg ikke helt hvordan du tør køre en web
server overhovedet. Sådan en er væsentligt mere risikabel at have
kørende.
------

Så pointen er at *JEG* skrev at det gav langt bedre beskyttelse kun at
tænde for ssh når man skulle bruge det (og slukke bagefter), mens du
slet ikke forstod pointen som kommer nu:

Pointen er (nu kommer det): At det giver god beskyttelse kun at have
sshd kørende når man har brug for den... Dette har jeg hele tiden
skrevet (hint: man kan jo ikke blive hacket i det tidsrum).

Pointen havde overhovedet intet som helst med webservere at gøre - det
har noget med sshd at gøre, men intet med webservere.

Jeg har så forstået at du har en anden pointe. Men det har intet med mig
at gøre, fordi jeg kører ikke nogen webserver og har ikke tænkt mig det.

Denne pointe forstod du ikke (ellers havde du jo nok ikke skrevet om
webservere til mig - hvis du forstod pointen, havde du jo nok skrevet
noget andet til mig...).
** Posted from http://www.teranews.com **

Michael Zedeler (13-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 13-05-08 20:22

Santa Claus wrote:
> [...]
> Så pointen er at *JEG* skrev at det gav langt bedre beskyttelse kun at
> tænde for ssh når man skulle bruge det (og slukke bagefter), mens du
> slet ikke forstod pointen som kommer nu:
>
> Pointen er (nu kommer det): At det giver god beskyttelse kun at have
> sshd kørende når man har brug for den... Dette har jeg hele tiden
> skrevet (hint: man kan jo ikke blive hacket i det tidsrum).

Jeg har administreret omkring 40 maskin-sshd-år (ca. 4 maskiner konstant
i 10 år) og aldrig oplevet at nogen kom igennem på sshd. Til gengæld
har jeg set en dårligt opsat maskine blive hacket indenfor 10 minutter
efter den kom på nettet.

Frem for at snakke om at starte og stoppe sshd, synes jeg at det er
langt mere konstruktivt at snakke om hvordan man sætter det op, så det
er meget svært at komme ind.

fail2ban som jeg nævner i en anden tråd er specifikt indrettet til at
lukke for adgang fra en given ip-adresse hvis der er tegn på at den
prøver at bryde ind. Hvis endelig man skal til at dobbeltsikre sig,
virker det langt mere oplagt, da der dermed er tale om en reel ekstra
barriere. Det kan man ikke sige om løsningen med at gøre tidsvinduet mindre.

Mvh. Michael.

Martin M. S. Pederse~ (14-05-2008)
Kommentar
Fra : Martin M. S. Pederse~


Dato : 14-05-08 19:44

Michael Zedeler wrote:

> Jeg har administreret omkring 40 maskin-sshd-år (ca. 4 maskiner konstant
> i 10 år) og aldrig oplevet at nogen kom igennem på sshd.

Det har jeg desværre. Der var en fejl i ssh for 6-7 år siden og den blev
udnyttet.


/Martin

Christian Laursen (14-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 14-05-08 16:33

Santa Claus <free_presents@greenland> writes:

> Pointen er (nu kommer det): At det giver god beskyttelse kun at have
> sshd kørende når man har brug for den... Dette har jeg hele tiden
> skrevet (hint: man kan jo ikke blive hacket i det tidsrum).

Hvis din sshd er sårbar, rammer hackeren dig, mens du har den
tændt. Det er blot et spørgsmål om tid.

--
Christian Laursen

Anders Wegge Jakobse~ (11-05-2008)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 11-05-08 22:26

Santa Claus <free_presents@greenland> writes:

> Da ikke mere idiotisk end at køre 24/7/365, hvis man kun er under 5
> brugere der sjældent skal bruge det.

Hvis du har givet din webserver privilegier til at starte sshd, bør
du betragte den som en konstant kørende service. Der er uendeligt
mange flere muligheder for at din webserver bliver kompromitteret end
at sshd bliver det, så det er en rent kosmetisk manøvre du
laver. Umiddelbart tror jeg at "grep -v" i virkeligheden er det du
savner.

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

Santa Claus (12-05-2008)
Kommentar
Fra : Santa Claus


Dato : 12-05-08 15:08

Anders Wegge Jakobsen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Da ikke mere idiotisk end at køre 24/7/365, hvis man kun er under 5
>> brugere der sjældent skal bruge det.
>
> Hvis du har givet din webserver privilegier til at starte sshd, bør
> du betragte den som en konstant kørende service. Der er uendeligt

Prøv hør her Einstein, nummer 2 (jeg troede jeg havde forklaret dette,
men nu kommer det igen):

Jeg har ikke givet nogen webserver nogen som helst privilegier til noget
som helst, nogensinde og har aldrig tænkt mig det!!! Kan du forstå det
efter at folk nok snart ender med at have skrevet det ca. 10 gange her i
gruppen?

Jeg udtalte mig alene om det at tænde og slukke for serveren, når man
havde brug for det - metoden kunne man så diskutere - f.eks. gav jeg
udtrykkeligt et meget tydeligt eksempel, med at man sendte en mail med
et bestemt indhold så man undgik sikkerhedshuller i en webserver. Jeg
har ihvertfald ikke hørt om nogen mail-exploits i nyere tid i denne retning.

Men fortæl mig så, Einstein nummer 1 eller Einstein nummer 2: Hvordan
vil i helt konkret hacke og finde sikkerhedshullet i webserveren og
udnytte det og SAMTIDIGT hacke ssh? Alt andet lige, er det sværere at
gøre begge dele end kun at hacke ssh der er åbent 24/7/365. Selvom det
ikke var min pointe, så kan du jo f.eks. demonstrere hvad du duer til
(hvis du overhovedet kan noget i den retning) ved at fortælle mig
hvordan du vil hacke ham der brugte den metode med at tænde/slukke sshd.

Jeg venter spændt... Det skal være meget meget konkret, før jeg bliver
imponeret... Og nu ikke noget med at komme med en 10 år gammel exploit
fra Netscape Navigator 1.0 eller lignende...

> mange flere muligheder for at din webserver bliver kompromitteret end
> at sshd bliver det, så det er en rent kosmetisk manøvre du

Jeg har ikke nogen webserver, så jeg ved ikke hvad det er for noget
vrøvl du skriver til mig. Du virker useriøs.

> laver. Umiddelbart tror jeg at "grep -v" i virkeligheden er det du
> savner.

Nej, det er det ikke. Jeg mangler ikke rigtigt noget bortset fra måske
nogen fornuftige indlæg. Man kunne for eksempel diskutere sikre
muligheder for at slukke og tænde sshd for at undgå risiko for at blive
hacket 24/7/365.

Ved at kunne tænde og slukke sshd kan risikoen for hacking minimeres til
nærmest ingenting og utroligt nok, er der åbenbart folk som dig der ikke
fatter det. Man kan så diskutere metoden man tænder/slukker sshd på og
det var så pointen til dem der ikke fattede det (einstein nr.1+2)...

Jeg ved at metoden med at åbne og lukke i meget kort tid er brugt i
meget store IT-systemer med tusinder brugere og det forstår man jo
ligesom godt, "lille, små Einstein" nr.1+2... Jeg syntes så ikke at jeg
behøves at forklare hvorhenne (hvilke firmaer jeg har kendskab til)...

Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.

** Posted from http://www.teranews.com **

Allan Willems Joerge~ (12-05-2008)
Kommentar
Fra : Allan Willems Joerge~


Dato : 12-05-08 15:20

Santa Claus <free_presents@greenland> wrote:

> Ved at kunne tænde og slukke sshd kan risikoen for hacking minimeres til
> nærmest ingenting og utroligt nok, er der åbenbart folk som dig der ikke
> fatter det. Man kan så diskutere metoden man tænder/slukker sshd på og
> det var så pointen til dem der ikke fattede det (einstein nr.1+2)...

Du mangler stadig at forklare hvordan det bliver mere sikkert at erstate
én service med en anden.

> Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.

Meget voksen måde at diskutere på.

--
Allan Willems Joergensen, OnDemand: http://www.nowhere.dk

"A hunger that never dies..." Sybo

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 20:07

Allan Willems Joergensen wrote:
> Santa Claus <free_presents@greenland> wrote:
>
>> Ved at kunne tænde og slukke sshd kan risikoen for hacking minimeres til
>> nærmest ingenting og utroligt nok, er der åbenbart folk som dig der ikke
>> fatter det. Man kan så diskutere metoden man tænder/slukker sshd på og
>> det var så pointen til dem der ikke fattede det (einstein nr.1+2)...
>
> Du mangler stadig at forklare hvordan det bliver mere sikkert at erstate
> én service med en anden.

Der er ikke noget der bliver erstattet her, tumpe... Man vælger ikke det
ene (webserver/andet) eller det andet (sshd).

>> Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.
>
> Meget voksen måde at diskutere på.

*PLONK*
** Posted from http://www.teranews.com **

Stig Johansen (12-05-2008)
Kommentar
Fra : Stig Johansen


Dato : 12-05-08 19:59

Jeg var squ ved at støtte dig, men..

Santa Claus wrote:
> Jeg ved at metoden med at åbne og lukke i meget kort tid er brugt i
> meget store IT-systemer med tusinder brugere

Hvordan hænger det lige sammen med det du skriver andetsteds:
> It's just a home computer server. I don't have company secrets or so on
> it, so I'm just "practicing" and listening to advice from experts...

Hmm... tusinder af brugere på 'just a home computer'?

--
Med venlig hilsen
Stig Johansen

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 20:14

Stig Johansen wrote:
> Jeg var squ ved at støtte dig, men..
>
> Santa Claus wrote:
>> Jeg ved at metoden med at åbne og lukke i meget kort tid er brugt i
>> meget store IT-systemer med tusinder brugere
>
> Hvordan hænger det lige sammen med det du skriver andetsteds:

Det hænger fint sammen, men det skal du ikke tænke over...

>> It's just a home computer server. I don't have company secrets or so on
>> it, so I'm just "practicing" and listening to advice from experts...
>
> Hmm... tusinder af brugere på 'just a home computer'?

Det hænger fint sammen, som sagt.
** Posted from http://www.teranews.com **

Stig Johansen (13-05-2008)
Kommentar
Fra : Stig Johansen


Dato : 13-05-08 22:02

Santa Claus wrote:

> Stig Johansen wrote:
>> Jeg var squ ved at støtte dig, men..
>>
>> Santa Claus wrote:
>>> Jeg ved at metoden med at åbne og lukke i meget kort tid er brugt i
>>> meget store IT-systemer med tusinder brugere
>>
>> Hvordan hænger det lige sammen med det du skriver andetsteds:
>
> Det hænger fint sammen, men det skal du ikke tænke over...

Nu har jeg så arbejdet med _meget_ store virksomheder med _meget_ store
systemer i 1/4 århundrede, og der er målsætningen altid at services kører
24/7/365, men det må være en eller anden speciel type IT systemer du
kender?

Men never mind, i forhold til dit oprindelige spørgsmål:
Hvis det kun er dig, eller få, der skal bruge den, så sæt den op til at køre
key auth only.
Så slipper du for at tænke på indbrudsforsøg via user/passwords.
Hvis du er irriteret over de mange logentries, så flyt den over på en anden
port.

Som andre skriver, så foregår disse ssh attacks altid, døgnet rundt.
Jeg havde selv en kørende på en privat adsl linie, og der kom _mange_
attempts.
Min IP adresse var ikke tilknyttet nogetsomhelst, så man kan konkludere, at
de scanner alle IP adresser, så den med 'at gemme sig' og 'finde dig' duer
ikke i det virkelige liv.


--
Med venlig hilsen
Stig Johansen

Anders Wegge Jakobse~ (12-05-2008)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 12-05-08 20:10

Santa Claus <free_presents@greenland> writes:

> Anders Wegge Jakobsen wrote:
>> Santa Claus <free_presents@greenland> writes:
>>
>>> Da ikke mere idiotisk end at køre 24/7/365, hvis man kun er under 5
>>> brugere der sjældent skal bruge det.
>>
>> Hvis du har givet din webserver privilegier til at starte sshd, bør
>> du betragte den som en konstant kørende service. Der er uendeligt

> Prøv hør her Einstein, nummer 2 (jeg troede jeg havde forklaret
> dette, men nu kommer det igen):

Jeg tager udgang i den hypotetiske situation, du forsøger at
overbevise andre om er "sikrere". Og det kan den på ingen måde
blive. I heldigste fald forbliver din sikkerhed på samme niveau, hvor
sshd kører hele tiden. I værste fald risikerer du at give andre
mulighed for at manipulere med mere end bare start og stop.

> Jeg har ikke givet nogen webserver nogen som helst privilegier til
> noget som helst, nogensinde og har aldrig tænkt mig det!!! Kan du
> forstå det efter at folk nok snart ender med at have skrevet det
> ca. 10 gange her i gruppen?

Jeg er forsåvidt ligeglad med hvad du rent faktisk har af
sikkerhedsstrategi. Jeg tog som sagt til genmæle mod et såre udbredt,
men lige så forkert syn på virkeligheden.

> Jeg udtalte mig alene om det at tænde og slukke for serveren, når
> man havde brug for det - metoden kunne man så diskutere - f.eks. gav
> jeg udtrykkeligt et meget tydeligt eksempel, med at man sendte en
> mail med et bestemt indhold så man undgik sikkerhedshuller i en
> webserver. Jeg har ihvertfald ikke hørt om nogen mail-exploits i
> nyere tid i denne retning.

Du kan bruge telepati for den sags skyld. Det bliver stadig ikke en
sikker løsning. Der er det helt fundamentale problem at din sshd
sagtens kan risikere at der kommer et angreb mod den forbi i løbet af
de 5 minutter du rent faktisk har den slået til.

> Men fortæl mig så, Einstein nummer 1 eller Einstein nummer 2:
> Hvordan vil i helt konkret hacke og finde sikkerhedshullet i
> webserveren og udnytte det og SAMTIDIGT hacke ssh? Alt andet lige,
> er det sværere at gøre begge dele end kun at hacke ssh der er åbent
> 24/7/365.

Nej. Du skal som sagt betragte din sshd som kørende konstant, hvis du
tillader en webserver at manipulere med den. Især hvis du selv har
tænkt dig at strikket noget sammen, vil der være en voldsom stor
sandsynlighed for at du får lavet et eller andet utilsigtet hul.

> Selvom det ikke var min pointe, så kan du jo f.eks. demonstrere hvad
> du duer til (hvis du overhovedet kan noget i den retning) ved at
> fortælle mig hvordan du vil hacke ham der brugte den metode med at
> tænde/slukke sshd.

Nu er det ikke alt.hackers du befinder dig i, så det er ikke her du
skal lede efter den slags erfaringer. Men hvis jeg endelig skulle gå
efter den, ville jeg nok overveje at smide et remote inclusion exploit
efter noget andet kode der kører på den samme webserver. Det er
underordnet hvilken applikation der er det svageste led.

> Jeg venter spændt... Det skal være meget meget konkret, før jeg
> bliver imponeret... Og nu ikke noget med at komme med en 10 år
> gammel exploit fra Netscape Navigator 1.0 eller lignende...

NN er ikke en webserver.

>> mange flere muligheder for at din webserver bliver kompromitteret end
>> at sshd bliver det, så det er en rent kosmetisk manøvre du

> Jeg har ikke nogen webserver, så jeg ved ikke hvad det er for noget
> vrøvl du skriver til mig. Du virker useriøs.

Som sagt, så svarede jeg på den hypotetiske situation du lod til at
være forelsket i.

>> laver. Umiddelbart tror jeg at "grep -v" i virkeligheden er det du
>> savner.

> Nej, det er det ikke. Jeg mangler ikke rigtigt noget bortset fra
> måske nogen fornuftige indlæg. Man kunne for eksempel diskutere
> sikre muligheder for at slukke og tænde sshd for at undgå risiko for
> at blive hacket 24/7/365.

Du kan formindske risikoen ved at mindske den tid servicen er til
rådighed. Men det beskytter dig ikke, hvis der er en fejl i
implementationen. Det kan allerhøjest forlænge tiden der går, men det
giver dig ikke sikkerhed.

> Ved at kunne tænde og slukke sshd kan risikoen for hacking minimeres
> til nærmest ingenting og utroligt nok, er der åbenbart folk som dig
> der ikke fatter det. Man kan så diskutere metoden man tænder/slukker
> sshd på og det var så pointen til dem der ikke fattede det (einstein
> nr.1+2)...

Du har ikke forstået hvad sikkerhed er. Det er ikke noget man opgør i
procenter. Enten kører man en sikker applikation, og så forbliver den
sikker, uanset hvor mange angreb der kommer. Eller også har man en
usikker applikation, eller en usikker konfiguration af den, og så er
den usikker. Om det så tager en uge eller et år, før et automaiseret
angrib får gevinst, er et fedt.

> Jeg ved at metoden med at åbne og lukke i meget kort tid er brugt i
> meget store IT-systemer med tusinder brugere og det forstår man jo
> ligesom godt, "lille, små Einstein" nr.1+2... Jeg syntes så ikke at
> jeg behøves at forklare hvorhenne (hvilke firmaer jeg har kendskab
> til)...

Nej, det forstår jeg ærligt talt ikke. Men jeg vil da gerne have
listen, så jeg fremover kan undgå at beskæftige mig med den slags
snake-oil brugere.

> Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.

Har du et meget lille ego, siden du føler behov for at bruge
nedladende vendinger i snart sagt hver tredie sætning?

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 20:51

Anders Wegge Jakobsen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Anders Wegge Jakobsen wrote:
>>> Santa Claus <free_presents@greenland> writes:
>>>
>>>> Da ikke mere idiotisk end at køre 24/7/365, hvis man kun er under 5
>>>> brugere der sjældent skal bruge det.
>>> Hvis du har givet din webserver privilegier til at starte sshd, bør
>>> du betragte den som en konstant kørende service. Der er uendeligt
>
>> Prøv hør her Einstein, nummer 2 (jeg troede jeg havde forklaret
>> dette, men nu kommer det igen):
>
> Jeg tager udgang i den hypotetiske situation, du forsøger at
> overbevise andre om er "sikrere". Og det kan den på ingen måde
> blive. I heldigste fald forbliver din sikkerhed på samme niveau, hvor
> sshd kører hele tiden. I værste fald risikerer du at give andre
> mulighed for at manipulere med mere end bare start og stop.

Igen: Det er ikke mig der giver brugere ekstra priviligier (root), så
det må du lige uddybe.

I bedste fald: Der er et ekstra lag beskyttelse + sshd er nærmest
umuligt at nå at hacke i det korte tid, det står åbent.

I værste fald: sshd kører 24/7/365, hvilket giver større risiko for at
blive hacket, men det er jo alternativet hvis ikke man vil tænde og
slukke sshd...

Og det er jo det som du og vistnok andre herinde syntes er skide-smart
(det syntes jeg ikke)...

>> Jeg har ikke givet nogen webserver nogen som helst privilegier til
>> noget som helst, nogensinde og har aldrig tænkt mig det!!! Kan du
>> forstå det efter at folk nok snart ender med at have skrevet det
>> ca. 10 gange her i gruppen?
>
> Jeg er forsåvidt ligeglad med hvad du rent faktisk har af
> sikkerhedsstrategi. Jeg tog som sagt til genmæle mod et såre udbredt,
> men lige så forkert syn på virkeligheden.

Forklar mig så hvordan du vil hacke mail-boksen, der kun forstår 2
kommandoer (du skal kende en meget præcis fremgangsmåde og vide at
muligheden eksisterer først og det skal du lige fortælle mig hvordan du
vil "opdage"):

1) Tænd sshd.
2) Sluk sshd.

DU KAN IKKE KØRE KOMMANDOER GENNEM MAIL... Så jeg forstår ikke din
pointe? Hvordan vil du bære dig ad?

Hint: Det hjælper ikke at skriver: "ls -l" i din mail og lignende, hvis
du tror det...

>> Jeg udtalte mig alene om det at tænde og slukke for serveren, når
>> man havde brug for det - metoden kunne man så diskutere - f.eks. gav
>> jeg udtrykkeligt et meget tydeligt eksempel, med at man sendte en
>> mail med et bestemt indhold så man undgik sikkerhedshuller i en
>> webserver. Jeg har ihvertfald ikke hørt om nogen mail-exploits i
>> nyere tid i denne retning.
>
> Du kan bruge telepati for den sags skyld. Det bliver stadig ikke en
> sikker løsning. Der er det helt fundamentale problem at din sshd

Hvordan vil du hacke den?

> sagtens kan risikere at der kommer et angreb mod den forbi i løbet af
> de 5 minutter du rent faktisk har den slået til.

Jeg har aldrig påstået andet, så hvad er pointen? Det jeg påstår er: DET
GIVER EKSTRA BESKYTTELSE... Er det så svært at forstå (åbenbart)?

>> Men fortæl mig så, Einstein nummer 1 eller Einstein nummer 2:
>> Hvordan vil i helt konkret hacke og finde sikkerhedshullet i
>> webserveren og udnytte det og SAMTIDIGT hacke ssh? Alt andet lige,
>> er det sværere at gøre begge dele end kun at hacke ssh der er åbent
>> 24/7/365.
>
> Nej. Du skal som sagt betragte din sshd som kørende konstant, hvis du
> tillader en webserver at manipulere med den. Især hvis du selv har

FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med sshd
(manipulere er helt sikkert et forkert ord at bruge - der bliver ikke
ændret noget ved sshd)!!!

> tænkt dig at strikket noget sammen, vil der være en voldsom stor
> sandsynlighed for at du får lavet et eller andet utilsigtet hul.

FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med sshd
(manipulere er helt sikkert et forkert ord at bruge - der bliver ikke
ændret noget ved sshd)!!!

>> Selvom det ikke var min pointe, så kan du jo f.eks. demonstrere hvad
>> du duer til (hvis du overhovedet kan noget i den retning) ved at
>> fortælle mig hvordan du vil hacke ham der brugte den metode med at
>> tænde/slukke sshd.
>
> Nu er det ikke alt.hackers du befinder dig i, så det er ikke her du
> skal lede efter den slags erfaringer. Men hvis jeg endelig skulle gå

Nej, det fremgår ganske tydeligt!

Det behøves du ikke at fortælle mig...

> efter den, ville jeg nok overveje at smide et remote inclusion exploit
> efter noget andet kode der kører på den samme webserver. Det er
> underordnet hvilken applikation der er det svageste led.

FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med sshd
(manipulere er helt sikkert et forkert ord at bruge - der bliver ikke
ændret noget ved sshd)!!!

>> Jeg venter spændt... Det skal være meget meget konkret, før jeg
>> bliver imponeret... Og nu ikke noget med at komme med en 10 år
>> gammel exploit fra Netscape Navigator 1.0 eller lignende...
>
> NN er ikke en webserver.

Min fejl (tanketorsk). Du har selvføgeligt ret og det var en
skrivefejl... Jeg mente tag eksempelvist en 10 år gammel webserver. Det
giver ingen points her.

>>> mange flere muligheder for at din webserver bliver kompromitteret end
>>> at sshd bliver det, så det er en rent kosmetisk manøvre du
>
>> Jeg har ikke nogen webserver, så jeg ved ikke hvad det er for noget
>> vrøvl du skriver til mig. Du virker useriøs.
>
> Som sagt, så svarede jeg på den hypotetiske situation du lod til at
> være forelsket i.

JEG HAR ALDRIG VÆRET FORELSKET I DEN LØSNING...

JEG HAR HELE TIDEN VÆRET FORTALER FOR AT TÆNDE OG SLUKKE SSHD OG HAR
ALDRIG SKREVET AT JEG VILLE GIVE EN BRUGER ROOT-PRIVILEGIER FOR GENNEM
EN WEBSERVER AT GØRE DET...

Fortæl mig hvordan du vil hacke det hypotetiske mail-sshd-eksempel, som
jeg helt fra starten kom med og fortæl mig lige hvorfor det ikke er
bedre end sshd 24/7/365, som nogen herinde tror det er...

Indtil videre er du kommet med NUL OG NIKS... Jeg beklager, men det er
sandheden i mine øjne...

Hvis du kommer med noget klogt som jeg ikke fra starten af vidste, så
skal jeg ellers nok give dig kredit og være ærlig (jeg er også ærlig nu)...

>>> laver. Umiddelbart tror jeg at "grep -v" i virkeligheden er det du
>>> savner.
>
>> Nej, det er det ikke. Jeg mangler ikke rigtigt noget bortset fra
>> måske nogen fornuftige indlæg. Man kunne for eksempel diskutere
>> sikre muligheder for at slukke og tænde sshd for at undgå risiko for
>> at blive hacket 24/7/365.
>
> Du kan formindske risikoen ved at mindske den tid servicen er til
> rådighed. Men det beskytter dig ikke, hvis der er en fejl i
> implementationen. Det kan allerhøjest forlænge tiden der går, men det
> giver dig ikke sikkerhed.

Tsk. tsk... Niveauet her er godtnok lavt.

>> Ved at kunne tænde og slukke sshd kan risikoen for hacking minimeres
>> til nærmest ingenting og utroligt nok, er der åbenbart folk som dig
>> der ikke fatter det. Man kan så diskutere metoden man tænder/slukker
>> sshd på og det var så pointen til dem der ikke fattede det (einstein
>> nr.1+2)...
>
> Du har ikke forstået hvad sikkerhed er. Det er ikke noget man opgør i
> procenter. Enten kører man en sikker applikation, og så forbliver den
> sikker, uanset hvor mange angreb der kommer. Eller også har man en
> usikker applikation, eller en usikker konfiguration af den, og så er
> den usikker. Om det så tager en uge eller et år, før et automaiseret
> angrib får gevinst, er et fedt.

Tsk. tsk... "Du har ikke forstået hvad sikkerhed er"...

>> Jeg ved at metoden med at åbne og lukke i meget kort tid er brugt i
>> meget store IT-systemer med tusinder brugere og det forstår man jo
>> ligesom godt, "lille, små Einstein" nr.1+2... Jeg syntes så ikke at
>> jeg behøves at forklare hvorhenne (hvilke firmaer jeg har kendskab
>> til)...
>
> Nej, det forstår jeg ærligt talt ikke. Men jeg vil da gerne have
> listen, så jeg fremover kan undgå at beskæftige mig med den slags
> snake-oil brugere.

Tsk. tsk... Look who's talking now... Hvorfor skal jeg "hjælpe" dig med
nogen som helst liste, når du bliver ved og ved med at ævle løs om at
jeg godt kan lide webservere med root-priviligier, tumpe?

Det du skriver er til grin... Jeg har aldrig påstået de ting du
tror/skriver og har flere gange skrevet at jeg ikke kører webserver og
ikke ville bruge den fremgangsmåde som en anden herinde bruger.

Jeg har derudover givet dig et eksempel, herover, hvor du skal fortælle
mig hvordan du vil hacke "mail-sshd-eksemplet" uden at du på forhånd
kender noget som helst (sådan vil det være her da du ikke fysisk har
adgang til serveren og ikke på andre måder vil kunne opdage noget).

Lad os dog sige at du havde portscannet efter port 22 og på et bestemt
tidspunkt opdagede du min IP. Efter 1 time prøver du igen. Ingen server
mere. Hvad gør du herfra? Lad os sige min server står i Australien. Vil
du prøve hvert 5. minut at scanne? Vil du gå videre til næste server?
Hvorfor vil du blive ved at prøve at hacke min IP, når du ikke kan
kontakte den? Hvor længe vil du blive ved med denne bestemt IP?

PÃ¥ hvilket tidspunkt falder det dig ind at sende en mail til en bestemt
mail, for at åbne port 22 på IP-adressen og bagefter hacke dig ind,
tumpe? Hvilken mail vil du sende til?

Sidst men ikke mindst: Lad os sige det lykkedes dig at lave alt
forarbejdet. Hvad får dig til at tro at jeg ikke vil opdage dine
tåbelige hacker-forsøg og vil skifte port væk fra 22 og lignende mere
avancerede ting?

JEG VILLE OPDAGE DIG! Det er helt sikkert... Jeg afslører dog ikke alle
mine metoder - og slet ikke her, hvor der vist er en del der ikke er så
kloge som de selv tror... Men hvorfor skulle jeg fortælle hvad jeg kører
med helt offentligt her? Eller privat? Det ser jeg ingen grund til.

>> Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.
>
> Har du et meget lille ego, siden du føler behov for at bruge
> nedladende vendinger i snart sagt hver tredie sætning?

Det er ikke mig der startede med at være nedladende. Der var nogen
fjolser der kritiserede mig for at tro at jeg syntes at det var smart at
give en bruger root-password på en webserver og du var en af dem!

Lidt ligesom om en idiot der tror han er klog og bagefter meget gerne
vil virke som om han er klog i andres øjne. Så derfor misforstår han med
vilje det der bliver skrevet, selvom sandheden nu er blevet skrevet her
i gruppen mindst 5 gange - snart 10 gange, tror jeg...


Min mening har hele tiden været at der ikke er nogen grund til at køre
en webserver for at starte/stoppe sshd. Og aldrig har jeg skrevet andet.

Det jeg godt kunne lide var dog at der var en herinde der rent faktisk
startede/stoppede sshd og han kunne i modsætning til nogen andre fjolser
godt se pointen med at begrænse sshd... Derfor lavede jeg det til OTD,
metoder til at starte/stoppe shhd, men det overstiger vist hvad du kan
bidrage til, fordi du har stadigvæk ikke set det smarte (ellers også
tror du - helt forkert - at det er umuligt at sikre sig bedre på den
måde, selvom jeg har skrevet at store virksomheder også gør tilsvarende
og jeg har kendskab dertil - dog ikke i detaljer: Den slags er
"hemmeligheder", you know! - Eller... Det vidste du nok ikke, men nu har
jeg skrevet det, ihvertfald).

(Du spurgte tidligere om jeg ville give dig en liste... Hvor dum er man
er så, hvis man siger: Værsgo' og hvor lidt forståelse for sikkerhed har
man, hvis man tror man bare kan spørge om sådan en liste på usenet, helt
offentligt???)

Du får heller ikke nogen liste på mail, hvis det er det du tror!!! Sådan
fungerer tingene altså ikke, beklager...

** Posted from http://www.teranews.com **

Martin M. S. Pederse~ (13-05-2008)
Kommentar
Fra : Martin M. S. Pederse~


Dato : 13-05-08 21:56

Santa Claus wrote:

> Forklar mig så hvordan du vil hacke mail-boksen, der kun forstår 2
> kommandoer (du skal kende en meget præcis fremgangsmåde og vide at
> muligheden eksisterer først og det skal du lige fortælle mig hvordan du
> vil "opdage"):
>

Bare det at muligheden eksiterer er en fejl fra din side.
Anyway Jeg gætter på at emailen bliver overført i plain tekst, så et
man-in-the-middel.

/Martin

Santa Claus (14-05-2008)
Kommentar
Fra : Santa Claus


Dato : 14-05-08 17:29

Martin M. S. Pedersen wrote:
> Santa Claus wrote:
>
>> Forklar mig så hvordan du vil hacke mail-boksen, der kun forstår 2
>> kommandoer (du skal kende en meget præcis fremgangsmåde og vide at
>> muligheden eksisterer først og det skal du lige fortælle mig hvordan
>> du vil "opdage"):
>>
>
> Bare det at muligheden eksiterer er en fejl fra din side.
> Anyway Jeg gætter på at emailen bliver overført i plain tekst, så et
> man-in-the-middel.

Det er ikke godtnok. Mailen er som minimum dato og tidskodet + noget
mere. Og selv hvis det lykkedes dig, hvad hjælper det dig så?

Du skal stadigvæk hacke en ssh-konto, og der er fjolser herinde der
syntes at det er bedre bare at lade ssh være åbent 24/7/365 (også
fjolser, som påstår at administrere et stort it-system i et kvart
århundrede)...

Så spørgsmålet som utroligt mange useriøse elementer herinde ikke fatter
er: - Hvad giver størst sikkerhed?

1) At du kan hacke sshd 24/7/365?
2) At du først skal (hacke) tænde for sshd og bagefter udføre pkt. 1?

Pkt. 2) giver størst sikkerhed - og sikkerhedsniveauet (alt hvad du kan
forestille dig og mere til) ml. pkt. 1+2 for sshd's vedkommende er 100%
ens. Det er præmissen, som vi har folk herinde der ikke fatter...

Pkt. 2) udelukker nemlig ingen ekstra sikkerhedsforanstaltninger ift.
pkt. 1 - overhovedet! Hvorfor er det så svært at fatte, at jeg skal
gentage det hele tiden (det kan godt være at du har forstået det, men
nogen andre herinde har ihvertfald ikke, så du bedes ikke lige tage
dette personligt på dig - det er nok mere nogen andre jeg hentyder til)?

Det der hele tiden har været min holdning, er at køre tilpas mange
sikkerhedsforanstaltninger for sshd og så istedet for pkt.1, udføre pkt.2.

Det har jeg tænkt mig at gøre - men jeg syntes at den nærmere præcise
fremgangsmåde ikke behøves at komme frem her, fordi der er for mange
useriøse elementer herinde, der ikke forstår præmissen.
** Posted from http://www.teranews.com **

Stig Johansen (14-05-2008)
Kommentar
Fra : Stig Johansen


Dato : 14-05-08 18:45

Santa Claus wrote:

> (også
> fjolser, som påstår at administrere et stort it-system i et kvart
> århundrede)...

Jeg går ud fra det er mig du hentyder til, og tak fordi du synes jeg er et
fjols.

Men 'administrere', synes jeg ikke lige jeg kan genkende.
'Kode/udvikle' er nok mere et rigtigt ord.

Det er lidt svært at finde historik på i*nettet, men du kan læse lidt her:
<http://www.nationalbanken.dk/C1256BE2005737D3/side/Kvartalsoversigten_2_kvartal_2000/$file/nb11.htm>
Bemærk evt.
.....
VP. Danmark blev i 1983 det første land i verden..
.....

2008-1983(påske) > 1/4 århundrede

Og hvis du læser lidt i fakta boksen:
.....
I 1988 kom aktier til....
.....

Kunne du måske, i din uendelige visdom, fortælle lidt om hvilke andre
konsekvenser der kom i 1988, incl. hvilke kommunikationsprotokoller, der
blev anvendt til hvem, og hvorfor?

--
Med venlig hilsen
Stig Johansen

Martin M. S. Pederse~ (14-05-2008)
Kommentar
Fra : Martin M. S. Pederse~


Dato : 14-05-08 19:42

Santa Claus wrote:

>(det kan godt være at du har forstået det, men
> nogen andre herinde har ihvertfald ikke, så du bedes ikke lige tage
> dette personligt på dig - det er nok mere nogen andre jeg hentyder til)?

Du må endelig ikke opfatte det sådan, at jeg giver dig ret i noget som
helst. Du er et arrogant, fjols, der ikke har forstnad på sikkerhed og
du vil ikke tage imod god råd.

Her er fire simple råd. De bedste råd er øverst.

1. Lyt efter andres råd. De har mere erfaring end dig.
2. Hold din ssh opdateret og tillad ikke protokol 1.
3. Flyt din ssh til en anden port.
4. Blokerer automatisk ip'er, der prøver at brute-force dit password.

/Martin


Santa Claus (14-05-2008)
Kommentar
Fra : Santa Claus


Dato : 14-05-08 21:09

Martin M. S. Pedersen wrote:
> Santa Claus wrote:
>
>> (det kan godt være at du har forstået det, men nogen andre herinde har
>> ihvertfald ikke, så du bedes ikke lige tage dette personligt på dig -
>> det er nok mere nogen andre jeg hentyder til)?
>
> Du må endelig ikke opfatte det sådan, at jeg giver dig ret i noget som
> helst. Du er et arrogant, fjols, der ikke har forstnad på sikkerhed og
> du vil ikke tage imod god råd.

Du påstår jeg ikke tager imod "gode råd". Jeg har ellers taget imod et
par stykker i denne tråd, fjols.

Men jeg kan så kvittere: Du er et hjernedødt fjols. Ingen steder har jeg
afvist fornuftige ting og du har heller ikke fattet præmissen for
diskussionen. Se herunder:

> Her er fire simple råd. De bedste råd er øverst.
>
> 1. Lyt efter andres råd. De har mere erfaring end dig.

Prøv fortæl hvad jeg har afvist af "gode råd" med citat/message-ID/dato
og lignende - JEG HAR INGEN STEDER AFVIST NEDENSTÅENDE EKSEMPELVIST OG
ER IKKE UBEKENDT MED DISSE LØSNINGER SOM SUPPLEMENT TIL ALT ANDET!!!

> 2. Hold din ssh opdateret og tillad ikke protokol 1.
> 3. Flyt din ssh til en anden port.
> 4. Blokerer automatisk ip'er, der prøver at brute-force dit password.
>
> /Martin

Hvad er det der får dig til at tro at jeg ikke kendte din liste over 4
punkter i forvejen og hvad får dig til at tro at jeg ikke allerede
forinden denne tråd blev lavet har eksperimenteret med at have sshd
kørende på denne måde og er bekendt med betydningen, sikkerhedsmæssigt,
fjols?

Du skal ikke opfatte det her som om jeg "afviser dine ´gode råd´", bare
fordi jeg bliver irriteret over at du ikke fatter præmissen om at jeg
ikke bryder mig om at holde services åbne, der kan hackes i længere tid
end højst nødvendigt, fjols... Den brik mangler du at forstå, før du
forstår hvad jeg diskuterer om med en anden som var i samme sted som du
er i nu...

At undlade at holde "hacking-egnede services" åbne, er et godt råd til
dig... Og jeg mangler stadigvæk at se nogen hacke en *EKSEMPELVIST*
mail-løsning, som de ikke ved findes...

Nu er *mail* bare et eksempel - jeg har "smartere" metoder til at åbne
og lukke for sshd, end mail... Jeg kan programmere i flere sprog og også
lave avanceret kode. Men så snart jeg snakker om noget der er lidt
kompliceret eller avanceret, så var der jo (mindst) et andet fjols
herinde der ikke syntes at "komplicerede/avancerede" løsninger var godt
(nok fordi han ikke helt fatter dem)...

Pointen er: Man kan åbne/lukke hacker-egnede services og forøge
sikkerheden. Forstå lige præmissen, inden du begynder at blande dig og
påstå at jeg afviser såkaldte "gode råd" og skal lære at modtage "gode
råd" om at gå imod denne præmis.


** Posted from http://www.teranews.com **

Alex Holst (14-05-2008)
Kommentar
Fra : Alex Holst


Dato : 14-05-08 23:01

Santa Claus <free_presents@greenland> wrote:
> Nu er *mail* bare et eksempel - jeg har "smartere" metoder til at ?bne
> og lukke for sshd, end mail... Jeg kan programmere i flere sprog og ogs?
> lave avanceret kode.

OpenSSH serveren er ret lille nu om dage. Den kører i privsep og nu også
med delayed compression som standard.

Hvis en maskine ikke kører andet, er det unødvendig tilføjelse af kernel
kode at f.eks. starte en firewall. Ligesom det er unødvendig tilføjelse
af userland kode at køre andre services der tænder og slukker for sshd.
I begge tilfælde er det kode der kan have sikkerhedfejl og give remote
code execution.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Andreas Plesner Jaco~ (14-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 14-05-08 23:03

On 2008-05-14, Alex Holst <a@mongers.org> wrote:
>
> Hvis en maskine ikke kører andet, er det unødvendig tilføjelse af kernel
> kode at f.eks. starte en firewall. Ligesom det er unødvendig tilføjelse
> af userland kode at køre andre services der tænder og slukker for sshd.
> I begge tilfælde er det kode der kan have sikkerhedfejl og give remote
> code execution.

Jeg tror kun der var en person der ikke allerede havde forstået dette.

--
Andreas

Santa Claus (15-05-2008)
Kommentar
Fra : Santa Claus


Dato : 15-05-08 18:55

Alex Holst wrote:
> Santa Claus <free_presents@greenland> wrote:
>> Nu er *mail* bare et eksempel - jeg har "smartere" metoder til at ?bne
>> og lukke for sshd, end mail... Jeg kan programmere i flere sprog og ogs?
>> lave avanceret kode.
>
> OpenSSH serveren er ret lille nu om dage. Den kører i privsep og nu også
> med delayed compression som standard.
>
> Hvis en maskine ikke kører andet, er det unødvendig tilføjelse af kernel
> kode at f.eks. starte en firewall. Ligesom det er unødvendig tilføjelse
> af userland kode at køre andre services der tænder og slukker for sshd.
> I begge tilfælde er det kode der kan have sikkerhedfejl og give remote
> code execution.

Måske unødvendigt og måske ikke. Er der sikkerhedshuller, er det godt at
man ikke lader serveren stå åben 24/7/365, fordi så bliver man med
*garanti* hacket hurtigere end ellers ("alt andet lige", som nogen ikke
forstår hvad betyder - ingen navne nævnt...).

Der er mange ting her i verdene, som er "unødvendige" men som masser af
folk alligevel laver - f.eks. af "educational purposes". Jeg betragter
overhovedet ikke alting jeg laver som nødvendigt - jeg programmerer
f.eks. massevist af ting som du nok kalder "unødvendige".

Og hver gang bliver jeg klogere og lærer noget nyt, selvom du kalder
tingene for "unødvendige"... Så jeg ville nok passe på hvad jeg kaldte
"unødvendigt".

Dog respekterer jeg din mening om hvad du syntes er "unødvendigt" og jeg
forstår den til en vis grad. Dette ændrer ikke på at jeg alligevel vil
lave "unødvendigt arbejde" (som du kalder det) og lære af det og
implementere det.
** Posted from http://www.teranews.com **

Alex Holst (15-05-2008)
Kommentar
Fra : Alex Holst


Dato : 15-05-08 20:47

Santa Claus <free_presents@greenland> wrote:
> > Hvis en maskine ikke k?rer andet, er det un?dvendig tilf?jelse af kernel
> > kode at f.eks. starte en firewall. Ligesom det er un?dvendig tilf?jelse
> > af userland kode at k?re andre services der t?nder og slukker for sshd.
> > I begge tilf?lde er det kode der kan have sikkerhedfejl og give remote
> > code execution.
>
> M?ske un?dvendigt og m?ske ikke. Er der sikkerhedshuller, er det godt at
> man ikke lader serveren st? ?ben 24/7/365 [....]

Det er ikke nyt, at man ikke kører unødvendige services. Blandt andet
fordi at:

netværk stack + sshd

er mindre farligt end hver af følgende:

netværk stack + sshd + pf

netværk stack + sshd + port knocking

netværk stack + sshd + web/mail-server

Har du kigget på hvor lidt kode der rent faktisk kan nåes i openssh nu
om dage uden at man har password/nøgler/whatever? Det tog dem noget tid,
men designet er blevet rigtigt lækkert.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Peter Mogensen (15-05-2008)
Kommentar
Fra : Peter Mogensen


Dato : 15-05-08 20:56

Alex Holst wrote:
> Santa Claus <free_presents@greenland> wrote:
>>> Hvis en maskine ikke k?rer andet, er det un?dvendig tilf?jelse af kernel
>>> kode at f.eks. starte en firewall. Ligesom det er un?dvendig tilf?jelse
>>> af userland kode at k?re andre services der t?nder og slukker for sshd.
>>> I begge tilf?lde er det kode der kan have sikkerhedfejl og give remote
>>> code execution.
>> M?ske un?dvendigt og m?ske ikke. Er der sikkerhedshuller, er det godt at
>> man ikke lader serveren st? ?ben 24/7/365 [....]
>
> Det er ikke nyt, at man ikke kører unødvendige services. Blandt andet
> fordi at:
>
> netværk stack + sshd
>
> er mindre farligt end hver af følgende:
>
> netværk stack + sshd + pf
>
> netværk stack + sshd + port knocking
>
> netværk stack + sshd + web/mail-server
>
> Har du kigget på hvor lidt kode der rent faktisk kan nåes i openssh nu
> om dage uden at man har password/nøgler/whatever? Det tog dem noget tid,
> men designet er blevet rigtigt lækkert.

Meget muligt Alex - og jeg er generelt enig i at man ikke skal køre
unødvendige services.

Men en anden god regel er at man heller ikke skal have
single-point-of-failure og vi har jo netop i forgårs set hvordan Debians
openssh-server pludselig blev et single-point-of-failure for ret mange
sites. Antallet af nøgler, der skulle brute-force testes viste sig at
være helt urimeligt lille.

Det eneste, der kan beskytte dig imod sådan en fejl er ikke bare blindt
at acceptere at folk sidder og brute-force tester din service.

Peter

Alex Holst (15-05-2008)
Kommentar
Fra : Alex Holst


Dato : 15-05-08 21:49

Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> wrote:
> Men en anden god regel er at man heller ikke skal have
> single-point-of-failure og vi har jo netop i forg?rs set hvordan Debians
> openssh-server pludselig blev et single-point-of-failure for ret mange
> sites. Antallet af n?gler, der skulle brute-force testes viste sig at
> v?re helt urimeligt lille.

Pfft, 2^15 forskellige SSH nøgler må altså være nok til alle.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Peter Mogensen (15-05-2008)
Kommentar
Fra : Peter Mogensen


Dato : 15-05-08 22:34

Alex Holst wrote:
> Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> wrote:
>> Men en anden god regel er at man heller ikke skal have
>> single-point-of-failure og vi har jo netop i forg?rs set hvordan Debians
>> openssh-server pludselig blev et single-point-of-failure for ret mange
>> sites. Antallet af n?gler, der skulle brute-force testes viste sig at
>> v?re helt urimeligt lille.
>
> Pfft, 2^15 forskellige SSH nøgler må altså være nok til alle.
>

Ja jeg klager ikke ... jeg havde vist fået min del :)

Kent Friis (24-05-2008)
Kommentar
Fra : Kent Friis


Dato : 24-05-08 22:06

Den 15 May 2008 20:49:01 GMT skrev Alex Holst:
> Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> wrote:
>> Men en anden god regel er at man heller ikke skal have
>> single-point-of-failure og vi har jo netop i forg?rs set hvordan Debians
>> openssh-server pludselig blev et single-point-of-failure for ret mange
>> sites. Antallet af n?gler, der skulle brute-force testes viste sig at
>> v?re helt urimeligt lille.
>
> Pfft, 2^15 forskellige SSH nøgler må altså være nok til alle.

Jeg troede det var OpenSSL advisory'en i snakkede om. Men det der
må da være en anden fejl, hvor kan jeg læse mere om den?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Alex Holst (25-05-2008)
Kommentar
Fra : Alex Holst


Dato : 25-05-08 11:06

Kent Friis <nospam@nospam.invalid> wrote:
> > Pfft, 2^15 forskellige SSH n?gler m? alts? v?re nok til alle.
>
> Jeg troede det var OpenSSL advisory'en i snakkede om. Men det der
> m? da v?re en anden fejl, hvor kan jeg l?se mere om den?

Jo, det var OpenSSL fejlen i Debian/Ubuntu vi talte om.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Kent Friis (25-05-2008)
Kommentar
Fra : Kent Friis


Dato : 25-05-08 11:56

Den 25 May 2008 10:06:00 GMT skrev Alex Holst:
> Kent Friis <nospam@nospam.invalid> wrote:
>> > Pfft, 2^15 forskellige SSH n?gler m? alts? v?re nok til alle.
>>
>> Jeg troede det var OpenSSL advisory'en i snakkede om. Men det der
>> m? da v?re en anden fejl, hvor kan jeg l?se mere om den?
>
> Jo, det var OpenSSL fejlen i Debian/Ubuntu vi talte om.

Hvor kommer de 2^15 så fra, i og med at beskrivelsen af OpenSSL
fejlen var at man havde fjernet en stump kode der tilføjede en
tilfældig memory page til entropy pool'en, en lille del af den
samlede entropy - der iøvrigt sagtens kunne indeholde 00 00 00...
alligevel, afhængig af hvad den valgte memory-page havde været
brugt til sidst?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Alex Holst (25-05-2008)
Kommentar
Fra : Alex Holst


Dato : 25-05-08 19:57

Kent Friis <nospam@nospam.invalid> wrote:
> Hvor kommer de 2^15 s? fra, i og med at beskrivelsen af OpenSSL
> fejlen var at man havde fjernet en stump kode der tilf?jede en
> tilf?ldig memory page til entropy pool'en, en lille del af den
> samlede entropy - der i?vrigt sagtens kunne indeholde 00 00 00...
> alligevel, afh?ngig af hvad den valgte memory-page havde v?ret
> brugt til sidst?

The blacklists published by Debian and Ubuntu demonstrate just
how small the key space is. When creating a new OpenSSH key,
there are only 32,767 possible outcomes for a given
architecture, key size, and key type. The reason is that the
only "random" data being used by the PRNG is the ID of the
process. In order to generate the actual keys that match these
blacklists, we need a system containing the correct binaries for
the target platform and a way to generate keys with a specific
process ID.

http://metasploit.com/users/hdm/tools/debian-openssl/



--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Kent Friis (25-05-2008)
Kommentar
Fra : Kent Friis


Dato : 25-05-08 20:24

Den 25 May 2008 18:57:11 GMT skrev Alex Holst:
> Kent Friis <nospam@nospam.invalid> wrote:
>> Hvor kommer de 2^15 s? fra, i og med at beskrivelsen af OpenSSL
>> fejlen var at man havde fjernet en stump kode der tilf?jede en
>> tilf?ldig memory page til entropy pool'en, en lille del af den
>> samlede entropy - der i?vrigt sagtens kunne indeholde 00 00 00...
>> alligevel, afh?ngig af hvad den valgte memory-page havde v?ret
>> brugt til sidst?
>
> The blacklists published by Debian and Ubuntu demonstrate just
> how small the key space is. When creating a new OpenSSH key,
> there are only 32,767 possible outcomes for a given
> architecture, key size, and key type. The reason is that the
> only "random" data being used by the PRNG is the ID of the
> process. In order to generate the actual keys that match these
> blacklists, we need a system containing the correct binaries for
> the target platform and a way to generate keys with a specific
> process ID.
>
> http://metasploit.com/users/hdm/tools/debian-openssl/

WTF? Det stemmer så ikke med hvad jeg læste den dag nyheden kom.
Hvordan kan noget som OpenSSL basere sig på noget så simpelt som
PID + indholdet af en memory page der måske ikke har været i
brug og derfor er enten 00 00 00... eller FF FF FF...

Tilfældige tal baseret på PID er noget man bruger til spil og
andre ikke-kritiske ting.

På systemer med /dev/random er der ingen undskyldning for at
basere kryptering på PID (og det burde der heller ikke være
på systemer uden, der må man bare igang med grovere metoder, så
som keyboard interrupts og lignende).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Santa Claus (17-05-2008)
Kommentar
Fra : Santa Claus


Dato : 17-05-08 11:57

Alex Holst wrote:
> Santa Claus <free_presents@greenland> wrote:
>>> Hvis en maskine ikke k?rer andet, er det un?dvendig tilf?jelse af kernel
>>> kode at f.eks. starte en firewall. Ligesom det er un?dvendig tilf?jelse
>>> af userland kode at k?re andre services der t?nder og slukker for sshd.
>>> I begge tilf?lde er det kode der kan have sikkerhedfejl og give remote
>>> code execution.
>> M?ske un?dvendigt og m?ske ikke. Er der sikkerhedshuller, er det godt at
>> man ikke lader serveren st? ?ben 24/7/365 [....]
>
> Det er ikke nyt, at man ikke kører unødvendige services. Blandt andet
> fordi at:
>
> netværk stack + sshd
>
> er mindre farligt end hver af følgende:
>
> netværk stack + sshd + pf
>
> netværk stack + sshd + port knocking
>
> netværk stack + sshd + web/mail-server

Hvem har sagt at jeg vil køre ekstra services som er åbne for omverdenen
udover sshd?!? Så jeg forstår ikke dit argument.

Det har ikke rigtigt noget med mig at gøre, såvidt jeg kan se. Der hvor
sshd kører, behøves man jo ikke at åbne yderligere porte end den ene der
er nødvendig.

Som et eksempel: En mail-server behøves f.eks. ikke at være samme sted
som ens egen server: sshd osv (man kan åbne gratis mail-kontoer utallige
steder: Hotmail osv).

Man skal bare hente mails ned fra et andet sted og scanne dem, hvis det
var det man ville. Samtidigt checker man for de 3 muligheder:
åben/luk/ignorer. Udefra ville du kun se sshd være tilstede i 5% af
tiden (eller mindre) eller også ville du intet se uanset hvor meget du
portscannede og hvilke andre "tricks" du mener du kan.

Så hvad er det du prøver at sige? Jeg har adskillige gange fortalt
situationen som mange tidligere ikke forstod men situationen er:

1) sshd åben 24/7/365 eller
2) sshd åben meget meget mindre tid (under 5% af døgnet i snit)

(og setuppet er ellers nøjagtigt ens mht. opsætning i de 2 situationer)

> Har du kigget på hvor lidt kode der rent faktisk kan nåes i openssh nu
> om dage uden at man har password/nøgler/whatever? Det tog dem noget tid,
> men designet er blevet rigtigt lækkert.

Jeg er enig i at mange ting er godt. Men som der er blevet sagt utallige
gange i tråden: Jeg er modstander af at have en unødvendige services
åben overfor omverdenen, når jeg ikke skal bruge dem og her snakker vi sshd.

Jeg har hele tiden været modstander af af at have unødvendige services
kørende, som bare åbner op for at jeg potentielt kan blive hacket eller
sikkerhedshuller kan blive udnyttet (se bare hvad historien viser os).

Kald mig bare et-eller-andet, men når nu man kan lave det mere sikkert
og gerne vil gøre det for sin egen oplevelses skyld og når nu det
stadigvæk forbedrer sikkerheden ikke at køre unødvendige services, der
åbner op for hackere, så mener jeg man skal gøre det hvis man vil og jeg
mener at der er meget fornuft i det. Derudover lærer man mange ting af
selv at programmere sine egne ting, ikke at forglemme og det skal man
ikke undervurdere værdien af.


** Posted from http://www.teranews.com **

Martin M. S. Pederse~ (16-05-2008)
Kommentar
Fra : Martin M. S. Pederse~


Dato : 16-05-08 22:54

Santa Claus wrote:
> Martin M. S. Pedersen wrote:
>> Santa Claus wrote:
>>
>>> (det kan godt være at du har forstået det, men nogen andre herinde
>>> har ihvertfald ikke, så du bedes ikke lige tage dette personligt på
>>> dig - det er nok mere nogen andre jeg hentyder til)?
>>
>> Du må endelig ikke opfatte det sådan, at jeg giver dig ret i noget som
>> helst. Du er et arrogant, fjols, der ikke har forstnad på sikkerhed og
>> du vil ikke tage imod god råd.
>
> Du påstår jeg ikke tager imod "gode råd". Jeg har ellers taget imod et
> par stykker i denne tråd, fjols.

*PLONK* EOD

/Martin

Anders Wegge Jakobse~ (13-05-2008)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 13-05-08 22:40

Santa Claus <free_presents@greenland> writes:

> Anders Wegge Jakobsen wrote:
>> Santa Claus <free_presents@greenland> writes:
>>
>>> Anders Wegge Jakobsen wrote:
>>>> Santa Claus <free_presents@greenland> writes:
>>>>
>>>>> Da ikke mere idiotisk end at køre 24/7/365, hvis man kun er under 5
>>>>> brugere der sjældent skal bruge det.
>>>> Hvis du har givet din webserver privilegier til at starte sshd, bør
>>>> du betragte den som en konstant kørende service. Der er uendeligt
>>
>>> Prøv hør her Einstein, nummer 2 (jeg troede jeg havde forklaret
>>> dette, men nu kommer det igen):
>>
>> Jeg tager udgang i den hypotetiske situation, du forsøger at
>> overbevise andre om er "sikrere". Og det kan den på ingen måde
>> blive. I heldigste fald forbliver din sikkerhed på samme niveau, hvor
>> sshd kører hele tiden. I værste fald risikerer du at give andre
>> mulighed for at manipulere med mere end bare start og stop.

> Igen: Det er ikke mig der giver brugere ekstra priviligier (root), så
> det må du lige uddybe.

Uanset hvad du gør, giver du en service der ikke er sshd kontrol over
den. Du kan kalde den Kurt, hvis det giver dig et bedre humør, men
uanset hvad du kalder den, g hvordan du har implementeret den, forøger
det kompleksiteten af den sikkerhedsvurdering du skal lave.

> I bedste fald: Der er et ekstra lag beskyttelse + sshd er nærmest
> umuligt at nå at hacke i det korte tid, det står åbent.

Hvia sshd er umulig at hacke i de ti minuter den er aktiv, er den
lige så umlig at hacke, hvis den er aktiv hele tiden. Hvis ikke, så
kan du bare udskyde pinen lidt længere, men resultatet er det samme.

> I værste fald: sshd kører 24/7/365, hvilket giver større risiko for
> at blive hacket, men det er jo alternativet hvis ikke man vil tænde
> og slukke sshd...

Hvis du har en sshd der har et hul, så har du i bund og grund et
problem. Og der er det ligegyldigt om den kører et minut pr. døgn
eller om den kører konstant.

> Og det er jo det som du og vistnok andre herinde syntes er skide-smart
> (det syntes jeg ikke)...

Du er dum, fremturer med det, og vil ikke tage mod fornuft. Det
udsagn vil formentlig hidse dig op, men det forøger min "street
credibility", og din forventede reaktion på det vil sænke din.

>> Jeg er forsåvidt ligeglad med hvad du rent faktisk har af
>> sikkerhedsstrategi. Jeg tog som sagt til genmæle mod et såre udbredt,
>> men lige så forkert syn på virkeligheden.
>
> Forklar mig så hvordan du vil hacke mail-boksen, der kun forstår 2
> kommandoer (du skal kende en meget præcis fremgangsmåde og vide at
> muligheden eksisterer først og det skal du lige fortælle mig hvordan
> du vil "opdage"):
>
> 1) Tænd sshd.
> 2) Sluk sshd.

Tjah?

> DU KAN IKKE KØRE KOMMANDOER GENNEM MAIL... Så jeg forstår ikke din
> pointe? Hvordan vil du bære dig ad?

Jeg tror det er dig der ikke forstår pointen. Jeg har forsøgt at
forklare dig at du bare udvider angrebsgrænsefladen. Og du bliver ved
med at fremture...

> Hint: Det hjælper ikke at skriver: "ls -l" i din mail og lignende,
> hvis du tror det...

Hint: Et eller andet sted er der en urelateret service der har
kontrol over din sshd. Det er flintrende ligegyldit om transportlaget
er mail, brevduer eller telepati. Den dag en eller anden bryder
sikkerheden i det transportlag, er du på spanden. Og langt mere end du
ville være, med en ren sshd.

>> Du kan bruge telepati for den sags skyld. Det bliver stadig ikke en
>> sikker løsning. Der er det helt fundamentale problem at din sshd
>
> Hvordan vil du hacke den?

Den slags beflitter jeg mig som sagt ikke med. Jeg nøjes med at
konstatere at du udvider mulighederne. Din sshd kører stadig en gang i
mellem, *samtidig* med at du åbner for muligheden for at gøre kreative
ting med den, via et eller andent hjemmebrygget skrammel.

>> sagtens kan risikere at der kommer et angreb mod den forbi i løbet af
>> de 5 minutter du rent faktisk har den slået til.
>
> Jeg har aldrig påstået andet, så hvad er pointen? Det jeg påstår er:
> DET GIVER EKSTRA BESKYTTELSE... Er det så svært at forstå (åbenbart)?

Det gør det ikke. Det kan allerhøjest udsætte pinen lidt.

>> Nej. Du skal som sagt betragte din sshd som kørende konstant, hvis du
>> tillader en webserver at manipulere med den. Især hvis du selv har

> FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med
> sshd (manipulere er helt sikkert et forkert ord at bruge - der
> bliver ikke ændret noget ved sshd)!!!

Mailserver, hamster, brevdue ... Uanset hvad det er, så giver du en
urelateret service adgang til at starte og stoppe din sshd. Og hvis
dine kodeevner er så gode som dine sociale evner, har du også åbnet
for muligheden for at smide arbitrære options med til starten af
samme.

>> tænkt dig at strikket noget sammen, vil der være en voldsom stor
>> sandsynlighed for at du får lavet et eller andet utilsigtet hul.

> FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med
> sshd (manipulere er helt sikkert et forkert ord at bruge - der
> bliver ikke ændret noget ved sshd)!!!

Du gentager dig selv. Det gør dig ikke mindre dum at høre på. En
simpel analogi: Du lukker et barn ind i en kasse, der kan låses
indefra med en simpel rigel. Barnet får at vide at det skal lukke
rigelen, når man siger hest udefra, og åbne den igen når der bliver
sagt inkommensurabilitetstest. Jeg kan sige inkommensurabilitetstese
alt det jeg lyster, uden at barnet bliver et andet. Men jeg har stadig
manipuleret med din "sikkerhedsmodel".

>> NN er ikke en webserver.

> Min fejl (tanketorsk). Du har selvføgeligt ret og det var en
> skrivefejl... Jeg mente tag eksempelvist en 10 år gammel
> webserver. Det giver ingen points her.

Det er ikke en webserver man angriber, men derimod de applikationer
der kører på den.

>> Som sagt, så svarede jeg på den hypotetiske situation du lod til
>> at være forelsket i.

> JEG HAR ALDRIG VÆRET FORELSKET I DEN LØSNING...

Tjahh...

> JEG HAR HELE TIDEN VÆRET FORTALER FOR AT TÆNDE OG SLUKKE SSHD OG HAR
> ALDRIG SKREVET AT JEG VILLE GIVE EN BRUGER ROOT-PRIVILEGIER FOR GENNEM
> EN WEBSERVER AT GØRE DET...

Du har som sagt ikke fattet en bønne af hvad sikkerhed er.

> Fortæl mig hvordan du vil hacke det hypotetiske mail-sshd-eksempel,
> som jeg helt fra starten kom med og fortæl mig lige hvorfor det ikke
> er bedre end sshd 24/7/365, som nogen herinde tror det er...

Det er ikke bedre. Jeg tror allerede jeg har foklaret det en gang,
men for det tilfældes skykd at jeg har svigtet dig, så: En serivice
der er usikker, er pr. definition usikker, uanset hvor kort tid den
kører. Den "sikkerhedsmodel" du forfægter, svar lidt til datteren der
kommer hjem og siger "Jeg er en lille smule gravid".

> Indtil videre er du kommet med NUL OG NIKS... Jeg beklager, men det
> er sandheden i mine øjne...

Er man dum, er det nemt at overbevise sig selv om at man er
smart... Er man smart, har man svært ved at overbevise sig selm om at
man er smart nok. Og det betyder som sagt ikke det fjerneste for
mig. Du kan )og gør det formentlig også) råbe op om at du har en
sikker løsning fra nu og til dommedag. Dem der ved hvad sikkerhed er,
ser på dig som en nar. Andre ville måske opfatte din "løsning som
smart. Det er dit o deres problem.

> Hvis du kommer med noget klogt som jeg ikke fra starten af vidste, så
> skal jeg ellers nok give dig kredit og være ærlig (jeg er også ærlig
> nu)...

Nej, du er dumsmart. Dum nok til at tro du har fundet på noget
smart.

>> Du kan formindske risikoen ved at mindske den tid servicen er til
>> rådighed. Men det beskytter dig ikke, hvis der er en fejl i
>> implementationen. Det kan allerhøjest forlænge tiden der går, men
>> det giver dig ikke sikkerhed.

> Tsk. tsk... Niveauet her er godtnok lavt.

Ja, nu du siger det. Du kunne vælge at gøre noget ved det.

>> Du har ikke forstået hvad sikkerhed er. Det er ikke noget man
>> opgør i procenter. Enten kører man en sikker applikation, og så
>> forbliver den sikker, uanset hvor mange angreb der kommer. Eller
>> også har man en usikker applikation, eller en usikker konfiguration
>> af den, og så er den usikker. Om det så tager en uge eller et år,
>> før et automaiseret angrib får gevinst, er et fedt.

> Tsk. tsk... "Du har ikke forstået hvad sikkerhed er"...

Nej, åbenbart ikke. Der er i bund og grund to slags folk. Dem der er
dumme nok til at tro de er samrt, og dem der er kloge nok til at vide
de altid kan lære noget nyt.

>> Nej, det forstår jeg ærligt talt ikke. Men jeg vil da gerne have
>> listen, så jeg fremover kan undgå at beskæftige mig med den slags
>> snake-oil brugere.

> Tsk. tsk... Look who's talking now... Hvorfor skal jeg "hjælpe" dig
> med nogen som helst liste, når du bliver ved og ved med at ævle løs
> om at jeg godt kan lide webservere med root-priviligier, tumpe?

I bund og grund fordi det var en pæn måde at kalde dig løgner på. Du
var ikke smart nok til at acceptere det, så nu siger jege det ligeud.

> Det du skriver er til grin... Jeg har aldrig påstået de ting du
> tror/skriver og har flere gange skrevet at jeg ikke kører webserver
> og ikke ville bruge den fremgangsmåde som en anden herinde bruger.

Det har du. At du ikke vil være ved det, er dit eget problem.

> Jeg har derudover givet dig et eksempel, herover, hvor du skal
> fortælle mig hvordan du vil hacke "mail-sshd-eksemplet" uden at du
> på forhånd kender noget som helst (sådan vil det være her da du ikke
> fysisk har adgang til serveren og ikke på andre måder vil kunne
> opdage noget).

Jeg har fortalt dig at det er flintrende ligegyldigt om din sshd
kører eller ej i 999,9% af den tid der er til rådighed. Er den
usikker, er den det. Er den ikke, er den ikke. Du har væltet en
ubekendt oveni, og den kan kun gøre dine odds værre.

> Lad os dog sige at du havde portscannet efter port 22 og på et
> bestemt tidspunkt opdagede du min IP. Efter 1 time prøver du
> igen. Ingen server mere. Hvad gør du herfra? Lad os sige min server
> står i Australien. Vil du prøve hvert 5. minut at scanne? Vil du gå
> videre til næste server? Hvorfor vil du blive ved at prøve at hacke
> min IP, når du ikke kan kontakte den? Hvor længe vil du blive ved
> med denne bestemt IP?

I det hypotetiske tilfælde, ville jeg være flintrende ligeglad med
hvor din server var, og hvor ofte den var online. Jeg ville lave et
automatiseret angreb mod alle de adresser jeg kunne finde på, og hvis
din sshd var online på det tidspunkt jeg angreb den, ville jeg være
glad. Det din {mail,web,brevdue,telepati}-løsning giver mig mulighed
for, er at jeg har et yderligere angrenspunkt. Din sshd forbliver som
maksimum lige så usikker eller sikker som den altid har været.

> PÃ¥ hvilket tidspunkt falder det dig ind at sende en mail til en
> bestemt mail, for at åbne port 22 på IP-adressen og bagefter hacke
> dig ind, tumpe? Hvilken mail vil du sende til?

Den dag jeg rent faktisk skaffer mig illegal adgang til en server et
eller andet sted, ville jeg som minimum undersøge hvilke mulgheder den
gav mig. Var det dig specifikt jeg gik efter (hvis du da var det
værd), ville du nu have modtaget din {kones,datters,mors,kats} tånegle
med posten.

> Sidst men ikke mindst: Lad os sige det lykkedes dig at lave alt
> forarbejdet. Hvad får dig til at tro at jeg ikke vil opdage dine
> tåbelige hacker-forsøg og vil skifte port væk fra 22 og lignende
> mere avancerede ting?

Som sagt, så er du - statistisk set . ligegyldig. Var det dig
specifikt, ville jeg gå efter andre muligheder. Var det bare en host
mere, ville jeg tag den første den bedste host der gav mig et
sshd-formet hul. Og så er det ligegyldigt om jeg har lavet det ved at
ramme din server på et tidspunkt hvor du selv var der, eller om jeg
har brugt et "target of oppurtunity".

> JEG VILLE OPDAGE DIG! Det er helt sikkert... Jeg afslører dog ikke
> alle mine metoder - og slet ikke her, hvor der vist er en del der
> ikke er så kloge som de selv tror... Men hvorfor skulle jeg fortælle
> hvad jeg kører med helt offentligt her? Eller privat? Det ser jeg
> ingen grund til.

Formentlig fordi du tror på "security by obscurity", Det er som
tidligere nævnt dit, og ikke mit problem. Hvis det føles som den
rigtige løsning for dig, så er jeg i bund og grund ligeglad. Det er
dig der bilder dig selv ind at du har en sikker løsning, og ikke mig
der finder ud af at jeg ikke har den.


>>> Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.
>
>> Har du et meget lille ego, siden du føler behov for at bruge
>> nedladende vendinger i snart sagt hver tredie sætning?

> Det er ikke mig der startede med at være nedladende. Der var nogen
> fjolser der kritiserede mig for at tro at jeg syntes at det var
> smart at give en bruger root-password på en webserver og du var en
> af dem!

Tjah, du har ikke givet mig grund til at ændre den opfattelse, så jeg
vil fortsat betragte dig som en lille dreng. Måske er han spææret inde
i en voksen mands krop, men dit "forsvar", som det er kommet ovenfor,
giver dig ikke mange chancer i virkeligheden.

Kort sagt: Du er dum, fatter ikke gode råd, og er totalt uvilligt til
at tage ved lære. Hvis det føles godt for dig, så er det vel ok for
dig. Den dag nogen låser sg ind i dit hjem med den nøgle der ligger
under "tredie urtepotte fra højre", er det nok lidt skidt. Men du har
jo en "sikker" løsning, så det sker vel aldrig....


--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

Santa Claus (14-05-2008)
Kommentar
Fra : Santa Claus


Dato : 14-05-08 17:48

Anders Wegge Jakobsen wrote:
> Santa Claus <free_presents@greenland> writes:

>>> Jeg tager udgang i den hypotetiske situation, du forsøger at
>>> overbevise andre om er "sikrere". Og det kan den på ingen måde
>>> blive. I heldigste fald forbliver din sikkerhed på samme niveau, hvor
>>> sshd kører hele tiden. I værste fald risikerer du at give andre
>>> mulighed for at manipulere med mere end bare start og stop.
>
>> Igen: Det er ikke mig der giver brugere ekstra priviligier (root), så
>> det må du lige uddybe.
>
> Uanset hvad du gør, giver du en service der ikke er sshd kontrol over
> den. Du kan kalde den Kurt, hvis det giver dig et bedre humør, men
> uanset hvad du kalder den, g hvordan du har implementeret den, forøger
> det kompleksiteten af den sikkerhedsvurdering du skal lave.

Uha... Programmering er ikke "komplekst" for mig og jeg har 100% styr på
ideen. Men det er da fint at du kan snakke godt for din syge moster.
Skal vi lige huske:

1) at du påstod at det at stoppe sshd ikke giver større sikkerhed.
2) Nu drejer du det så over i at det "forøger kompleksiteten".

Jeg bad dig eksplicit forklare hvordan det at stoppe sshd ikke skulle
give bedre sikkerhed og nu snakker du om kompleksitet, som om vi var
nogen små pattebørn der ikke kan finde ud af noget som helst.

Hvis du er utilfreds med "komplekse løsninger" så gå dog tilbage til
minestryger og 7-kabale. Jeg arbejder i det daglige med meget komplekse
løsninger og ofte er de netop komplekse, fordi de løser et problem på en
god måde og tager højde for "alt".

IGEN: KOMPLEKSITET ER IKKE ER PROBLEM FOR MIG, NÅR LØSNINGEN ER DEN
RIGTIGE (jeg betragter ikke det med mail-serveren som noget særligt
"komplekst", men bare det at du gør det, siger mere om dig end mig)...

>> I bedste fald: Der er et ekstra lag beskyttelse + sshd er nærmest
>> umuligt at nå at hacke i det korte tid, det står åbent.
>
> Hvia sshd er umulig at hacke i de ti minuter den er aktiv, er den
> lige så umlig at hacke, hvis den er aktiv hele tiden. Hvis ikke, så

FORKERT!!!

> kan du bare udskyde pinen lidt længere, men resultatet er det samme.

Tsk. tumpe... Vil du helst blive hacket om 10 sekunder eller om 1000 år?

Du siger jo at resultatet er det samme, hvilket det *IKKE ER*... "Man
udskyder bare pinen", påstår du jo idiotisk nok....

>> I værste fald: sshd kører 24/7/365, hvilket giver større risiko for
>> at blive hacket, men det er jo alternativet hvis ikke man vil tænde
>> og slukke sshd...
>
> Hvis du har en sshd der har et hul, så har du i bund og grund et
> problem. Og der er det ligegyldigt om den kører et minut pr. døgn
> eller om den kører konstant.

DETTE HAR IKKE EN SKID AT GØRE MED OM MAN LUKKER (TÆNDER/SLUKKER) AF FOR
SSHD!

>> Og det er jo det som du og vistnok andre herinde syntes er skide-smart
>> (det syntes jeg ikke)...
>
> Du er dum, fremturer med det, og vil ikke tage mod fornuft. Det
> udsagn vil formentlig hidse dig op, men det forøger min "street
> credibility", og din forventede reaktion på det vil sænke din.

Du er et fjols. Du snakker om et hul i sshd, hvor jeg snakker om at hvis
der er et hul, så er der kraftedme også et hul hvis serveren står
24/7/365, Einstein...

Derudover påstår du at det er ligegyldigt om man bliver hacket i dag
eller om 10 år (man udskyder bare problemet, og så syntes du ikke man
behøves at gøre noget)...

Det er mildt sagt en idiotisk påstand. God sikkerhed handler om at
udskyde tidspunktet for at blive hacket til t=uendelig og alt deroppe
omkring.

>>> Jeg er forsåvidt ligeglad med hvad du rent faktisk har af
>>> sikkerhedsstrategi. Jeg tog som sagt til genmæle mod et såre udbredt,
>>> men lige så forkert syn på virkeligheden.
>> Forklar mig så hvordan du vil hacke mail-boksen, der kun forstår 2
>> kommandoer (du skal kende en meget præcis fremgangsmåde og vide at
>> muligheden eksisterer først og det skal du lige fortælle mig hvordan
>> du vil "opdage"):
>>
>> 1) Tænd sshd.
>> 2) Sluk sshd.
>
> Tjah?
>
>> DU KAN IKKE KØRE KOMMANDOER GENNEM MAIL... Så jeg forstår ikke din
>> pointe? Hvordan vil du bære dig ad?
>
> Jeg tror det er dig der ikke forstår pointen. Jeg har forsøgt at
> forklare dig at du bare udvider angrebsgrænsefladen. Og du bliver ved
> med at fremture...

Den er ikke udvidet - den er indsnævret!

>> Hint: Det hjælper ikke at skriver: "ls -l" i din mail og lignende,
>> hvis du tror det...
>
> Hint: Et eller andet sted er der en urelateret service der har
> kontrol over din sshd. Det er flintrende ligegyldit om transportlaget
> er mail, brevduer eller telepati. Den dag en eller anden bryder
> sikkerheden i det transportlag, er du på spanden. Og langt mere end du
> ville være, med en ren sshd.

Men du har ikke adgang til computeren på anden vis end sshd, så hvordan
vil du komme ind i første omgang og udnytte "den urelaterede service",
fjols? Hvis du i forvejen er inde og har adgang til "den urelaterede
service", så har du jo ligesom allerede hacket dig ind...

>>> Du kan bruge telepati for den sags skyld. Det bliver stadig ikke en
>>> sikker løsning. Der er det helt fundamentale problem at din sshd
>> Hvordan vil du hacke den?
>
> Den slags beflitter jeg mig som sagt ikke med. Jeg nøjes med at
> konstatere at du udvider mulighederne. Din sshd kører stadig en gang i
> mellem, *samtidig* med at du åbner for muligheden for at gøre kreative
> ting med den, via et eller andent hjemmebrygget skrammel.

NEJ! INGEN KREATIVE TING, FJOLS!

Fortæl mig hvordan du vil hacke min mail-løsning? Kom med bare 1
idiotisk konkret bud...

Derudover er mine ting nok ikke ligeså dårlige som dit "hjemmebryggede
skrammel" er. Jeg har styr på mine ting, i modsætning til dig - du ser
ikke ud til at vide noget som helst.

Kan du overhovedet programmere? Vis mig hvad du duer til - henvisninger
til projekter du har kodet eller bare beskrivelser...


>>> sagtens kan risikere at der kommer et angreb mod den forbi i løbet af
>>> de 5 minutter du rent faktisk har den slået til.
>> Jeg har aldrig påstået andet, så hvad er pointen? Det jeg påstår er:
>> DET GIVER EKSTRA BESKYTTELSE... Er det så svært at forstå (åbenbart)?
>
> Det gør det ikke. Det kan allerhøjest udsætte pinen lidt.

Fjols... Fortæl mig nu hvordan du vil udnytte den mail-adresse, som vi
lader som om du på en eller anden mystisk måde har fundet ud af
kontrollere adgangen til at starte/stoppe sshd...

>>> Nej. Du skal som sagt betragte din sshd som kørende konstant, hvis du
>>> tillader en webserver at manipulere med den. Især hvis du selv har
>
>> FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med
>> sshd (manipulere er helt sikkert et forkert ord at bruge - der
>> bliver ikke ændret noget ved sshd)!!!
>
> Mailserver, hamster, brevdue ... Uanset hvad det er, så giver du en
> urelateret service adgang til at starte og stoppe din sshd. Og hvis

FAT DET NU! Det jeg laver er ikke bras, fjols! Og at scanne en mail er
noget af det letteste man kan gøre, hvis man kan programmere fjols! Der
er kun 2 muligheder:

1) Mailen afvises.
2) Mailen tænder/slukker for sshd, og så er du lige vidt.

> dine kodeevner er så gode som dine sociale evner, har du også åbnet
> for muligheden for at smide arbitrære options med til starten af
> samme.

Prøv smid arbitrære options med i mailen, fjols... Hvis du har adgang
til servicen, så er computeren jo ligesom allerede hacket, fjols!

>>> tænkt dig at strikket noget sammen, vil der være en voldsom stor
>>> sandsynlighed for at du får lavet et eller andet utilsigtet hul.
>
>> FAT DET NU! Jeg tillader ikke nogen webserver at "manipulere" med
>> sshd (manipulere er helt sikkert et forkert ord at bruge - der
>> bliver ikke ændret noget ved sshd)!!!
>
> Du gentager dig selv. Det gør dig ikke mindre dum at høre på. En
> simpel analogi: Du lukker et barn ind i en kasse, der kan låses
> indefra med en simpel rigel. Barnet får at vide at det skal lukke
> rigelen, når man siger hest udefra, og åbne den igen når der bliver
> sagt inkommensurabilitetstest. Jeg kan sige inkommensurabilitetstese
> alt det jeg lyster, uden at barnet bliver et andet. Men jeg har stadig
> manipuleret med din "sikkerhedsmodel".
>
>>> NN er ikke en webserver.
>
>> Min fejl (tanketorsk). Du har selvføgeligt ret og det var en
>> skrivefejl... Jeg mente tag eksempelvist en 10 år gammel
>> webserver. Det giver ingen points her.
>
> Det er ikke en webserver man angriber, men derimod de applikationer
> der kører på den.
>
>>> Som sagt, så svarede jeg på den hypotetiske situation du lod til
>>> at være forelsket i.
>
>> JEG HAR ALDRIG VÆRET FORELSKET I DEN LØSNING...
>
> Tjahh...
>
>> JEG HAR HELE TIDEN VÆRET FORTALER FOR AT TÆNDE OG SLUKKE SSHD OG HAR
>> ALDRIG SKREVET AT JEG VILLE GIVE EN BRUGER ROOT-PRIVILEGIER FOR GENNEM
>> EN WEBSERVER AT GØRE DET...
>
> Du har som sagt ikke fattet en bønne af hvad sikkerhed er.
>
>> Fortæl mig hvordan du vil hacke det hypotetiske mail-sshd-eksempel,
>> som jeg helt fra starten kom med og fortæl mig lige hvorfor det ikke
>> er bedre end sshd 24/7/365, som nogen herinde tror det er...
>
> Det er ikke bedre. Jeg tror allerede jeg har foklaret det en gang,
> men for det tilfældes skykd at jeg har svigtet dig, så: En serivice
> der er usikker, er pr. definition usikker, uanset hvor kort tid den
> kører. Den "sikkerhedsmodel" du forfægter, svar lidt til datteren der
> kommer hjem og siger "Jeg er en lille smule gravid".
>
>> Indtil videre er du kommet med NUL OG NIKS... Jeg beklager, men det
>> er sandheden i mine øjne...
>
> Er man dum, er det nemt at overbevise sig selv om at man er
> smart... Er man smart, har man svært ved at overbevise sig selm om at
> man er smart nok. Og det betyder som sagt ikke det fjerneste for
> mig. Du kan )og gør det formentlig også) råbe op om at du har en
> sikker løsning fra nu og til dommedag. Dem der ved hvad sikkerhed er,
> ser på dig som en nar. Andre ville måske opfatte din "løsning som
> smart. Det er dit o deres problem.
>
>> Hvis du kommer med noget klogt som jeg ikke fra starten af vidste, så
>> skal jeg ellers nok give dig kredit og være ærlig (jeg er også ærlig
>> nu)...
>
> Nej, du er dumsmart. Dum nok til at tro du har fundet på noget
> smart.
>
>>> Du kan formindske risikoen ved at mindske den tid servicen er til
>>> rådighed. Men det beskytter dig ikke, hvis der er en fejl i
>>> implementationen. Det kan allerhøjest forlænge tiden der går, men
>>> det giver dig ikke sikkerhed.
>
>> Tsk. tsk... Niveauet her er godtnok lavt.
>
> Ja, nu du siger det. Du kunne vælge at gøre noget ved det.
>
>>> Du har ikke forstået hvad sikkerhed er. Det er ikke noget man
>>> opgør i procenter. Enten kører man en sikker applikation, og så
>>> forbliver den sikker, uanset hvor mange angreb der kommer. Eller
>>> også har man en usikker applikation, eller en usikker konfiguration
>>> af den, og så er den usikker. Om det så tager en uge eller et år,
>>> før et automaiseret angrib får gevinst, er et fedt.
>
>> Tsk. tsk... "Du har ikke forstået hvad sikkerhed er"...
>
> Nej, åbenbart ikke. Der er i bund og grund to slags folk. Dem der er
> dumme nok til at tro de er samrt, og dem der er kloge nok til at vide
> de altid kan lære noget nyt.
>
>>> Nej, det forstår jeg ærligt talt ikke. Men jeg vil da gerne have
>>> listen, så jeg fremover kan undgå at beskæftige mig med den slags
>>> snake-oil brugere.
>
>> Tsk. tsk... Look who's talking now... Hvorfor skal jeg "hjælpe" dig
>> med nogen som helst liste, når du bliver ved og ved med at ævle løs
>> om at jeg godt kan lide webservere med root-priviligier, tumpe?
>
> I bund og grund fordi det var en pæn måde at kalde dig løgner på. Du
> var ikke smart nok til at acceptere det, så nu siger jege det ligeud.
>
>> Det du skriver er til grin... Jeg har aldrig påstået de ting du
>> tror/skriver og har flere gange skrevet at jeg ikke kører webserver
>> og ikke ville bruge den fremgangsmåde som en anden herinde bruger.
>
> Det har du. At du ikke vil være ved det, er dit eget problem.
>
>> Jeg har derudover givet dig et eksempel, herover, hvor du skal
>> fortælle mig hvordan du vil hacke "mail-sshd-eksemplet" uden at du
>> på forhånd kender noget som helst (sådan vil det være her da du ikke
>> fysisk har adgang til serveren og ikke på andre måder vil kunne
>> opdage noget).
>
> Jeg har fortalt dig at det er flintrende ligegyldigt om din sshd
> kører eller ej i 999,9% af den tid der er til rådighed. Er den
> usikker, er den det. Er den ikke, er den ikke. Du har væltet en
> ubekendt oveni, og den kan kun gøre dine odds værre.
>
>> Lad os dog sige at du havde portscannet efter port 22 og på et
>> bestemt tidspunkt opdagede du min IP. Efter 1 time prøver du
>> igen. Ingen server mere. Hvad gør du herfra? Lad os sige min server
>> står i Australien. Vil du prøve hvert 5. minut at scanne? Vil du gå
>> videre til næste server? Hvorfor vil du blive ved at prøve at hacke
>> min IP, når du ikke kan kontakte den? Hvor længe vil du blive ved
>> med denne bestemt IP?
>
> I det hypotetiske tilfælde, ville jeg være flintrende ligeglad med
> hvor din server var, og hvor ofte den var online. Jeg ville lave et
> automatiseret angreb mod alle de adresser jeg kunne finde på, og hvis
> din sshd var online på det tidspunkt jeg angreb den, ville jeg være
> glad. Det din {mail,web,brevdue,telepati}-løsning giver mig mulighed
> for, er at jeg har et yderligere angrenspunkt. Din sshd forbliver som
> maksimum lige så usikker eller sikker som den altid har været.
>
>> PÃ¥ hvilket tidspunkt falder det dig ind at sende en mail til en
>> bestemt mail, for at åbne port 22 på IP-adressen og bagefter hacke
>> dig ind, tumpe? Hvilken mail vil du sende til?
>
> Den dag jeg rent faktisk skaffer mig illegal adgang til en server et
> eller andet sted, ville jeg som minimum undersøge hvilke mulgheder den
> gav mig. Var det dig specifikt jeg gik efter (hvis du da var det
> værd), ville du nu have modtaget din {kones,datters,mors,kats} tånegle
> med posten.
>
>> Sidst men ikke mindst: Lad os sige det lykkedes dig at lave alt
>> forarbejdet. Hvad får dig til at tro at jeg ikke vil opdage dine
>> tåbelige hacker-forsøg og vil skifte port væk fra 22 og lignende
>> mere avancerede ting?
>
> Som sagt, så er du - statistisk set . ligegyldig. Var det dig
> specifikt, ville jeg gå efter andre muligheder. Var det bare en host
> mere, ville jeg tag den første den bedste host der gav mig et
> sshd-formet hul. Og så er det ligegyldigt om jeg har lavet det ved at
> ramme din server på et tidspunkt hvor du selv var der, eller om jeg
> har brugt et "target of oppurtunity".
>
>> JEG VILLE OPDAGE DIG! Det er helt sikkert... Jeg afslører dog ikke
>> alle mine metoder - og slet ikke her, hvor der vist er en del der
>> ikke er så kloge som de selv tror... Men hvorfor skulle jeg fortælle
>> hvad jeg kører med helt offentligt her? Eller privat? Det ser jeg
>> ingen grund til.
>
> Formentlig fordi du tror på "security by obscurity", Det er som
> tidligere nævnt dit, og ikke mit problem. Hvis det føles som den
> rigtige løsning for dig, så er jeg i bund og grund ligeglad. Det er
> dig der bilder dig selv ind at du har en sikker løsning, og ikke mig
> der finder ud af at jeg ikke har den.
>
>
>>>> Det kan være ligegyldigt hvorhenne det sker, Einstein 1+2.
>>> Har du et meget lille ego, siden du føler behov for at bruge
>>> nedladende vendinger i snart sagt hver tredie sætning?
>
>> Det er ikke mig der startede med at være nedladende. Der var nogen
>> fjolser der kritiserede mig for at tro at jeg syntes at det var
>> smart at give en bruger root-password på en webserver og du var en
>> af dem!
>
> Tjah, du har ikke givet mig grund til at ændre den opfattelse, så jeg
> vil fortsat betragte dig som en lille dreng. Måske er han spææret inde
> i en voksen mands krop, men dit "forsvar", som det er kommet ovenfor,
> giver dig ikke mange chancer i virkeligheden.
>
> Kort sagt: Du er dum, fatter ikke gode råd, og er totalt uvilligt til
> at tage ved lære. Hvis det føles godt for dig, så er det vel ok for
> dig. Den dag nogen låser sg ind i dit hjem med den nøgle der ligger
> under "tredie urtepotte fra højre", er det nok lidt skidt. Men du har
> jo en "sikker" løsning, så det sker vel aldrig....

Jeg har ikke læst alt dit bræk - jeg lader det gerne stå her, hvis nogen
gider at give et resume...
** Posted from http://www.teranews.com **

Christian Laursen (14-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 14-05-08 18:04

Santa Claus <free_presents@greenland> writes:

> Hvis du er utilfreds med "komplekse løsninger" så gå dog tilbage til
> minestryger og 7-kabale. Jeg arbejder i det daglige med meget
> komplekse løsninger og ofte er de netop komplekse, fordi de løser et
> problem på en god måde og tager højde for "alt".

En kompleks løsning på et problem er aldrig en god måde. Det kan højst
være en acceptabel løsning og er et tegn på at udgangspunktet har
været dårligt.

Hvis man starter med et ordentligt udgangspunkt, kan problemet deles
op i delproblemer, der kan løses simpelt og overskueligt.

Hvis man stræber efter kompleksitet, har man helt klart misforstået
noget.

> IGEN: KOMPLEKSITET ER IKKE ER PROBLEM FOR MIG, NÅR LØSNINGEN ER DEN
> RIGTIGE (jeg betragter ikke det med mail-serveren som noget særligt
> "komplekst", men bare det at du gør det, siger mere om dig end mig)...

Der er vist ingen, der har sagt at det var komplekst. Men alt andet
lige øger man kompleksiteten, hvis man går fra noget simpelt til noget
knapt så simpelt - også selv om det sidste ikke er komplekst.

> Derudover er mine ting nok ikke ligeså dårlige som dit "hjemmebryggede
> skrammel" er. Jeg har styr på mine ting, i modsætning til dig - du ser
> ikke ud til at vide noget som helst.

Antager du, at du aldrig laver fejl?

--
Christian Laursen

Santa Claus (15-05-2008)
Kommentar
Fra : Santa Claus


Dato : 15-05-08 19:41

Christian Laursen wrote:
> Santa Claus <free_presents@greenland> writes:
....

> Hvis man stræber efter kompleksitet, har man helt klart misforstået
> noget.

Eller også har man hjernen og forståelsen, til at udfordre sig selv på
et højere niveau end (nogen) andre herinde har (ikke alle, men nogen),
hvilket er meget lærerigt. Hvis man aldrig laver noget kompliceret, så
bliver man ikke en dygtig ekspert. Så forbliver man en uøvet amatør,
uden praktisk erfaring og man bliver nødt til at spørge andre om hjælp
hele tiden, fordi man aldrig f.eks. har lavet et avanceret script.

Sådanne folk er ubrugelige mange steder.

Dermed ikke sagt at man altid skal vælge en avanceret løsning - men hvis
man i sin fritid eller arbejdstid gerne vil og har mulighed for det, så
mener jeg at avancerede løsninger er utroligt lærerige - næste gang man
løser tilsvarende problemer, har man opbygget en enorm kompetence og det
giver en utrolig viden om systemer, at programmere avancerede løsninger.

Det er en meget efterspurgt kompetence indenfor mange brancher, at kunne
håndtere komplicerede og avancerede løsninger - det giver utroligt mange
penge og der er altså folk i vores samfund der har at gøre med disse
avancerede ting, netop fordi de er uundværlige.

Man kan ikke bare lukke øjnene og sige: "Jeg vil ikke have en avanceret
løsning, men alligevel skal det færdige produkt kunne dit og dat..."

>> IGEN: KOMPLEKSITET ER IKKE ER PROBLEM FOR MIG, NÅR LØSNINGEN ER DEN
>> RIGTIGE (jeg betragter ikke det med mail-serveren som noget særligt
>> "komplekst", men bare det at du gør det, siger mere om dig end mig)...
>
> Der er vist ingen, der har sagt at det var komplekst. Men alt andet

Jo: Der var et fjols som også snakkede om brevduer og telepati, der
tilkendegav at han syntes at en mail-løsning var meget mere kompliceret
end bare at lade sshd være åben 24/7/365.

Men jeg har det ligesom dig: Det er ikke et "komplekst" problem og det
er nemt at overskue de 3 mulige udfald: Åbn/Lukke/ignorer - jeg håber
det er det du mener med: "Der er ingen der har sagt det var komplekst"?

> lige øger man kompleksiteten, hvis man går fra noget simpelt til noget
> knapt så simpelt - også selv om det sidste ikke er komplekst.
>
>> Derudover er mine ting nok ikke ligeså dårlige som dit "hjemmebryggede
>> skrammel" er. Jeg har styr på mine ting, i modsætning til dig - du ser
>> ikke ud til at vide noget som helst.
>
> Antager du, at du aldrig laver fejl?

Jo, masser af gange! Som sagt arbejder jeg med meget komplicerede ting
og fejl er uundgåelige for selv den bedste programmør i den slags
projekter (spørgsmålet man stiller sig selv er: Kan jeg/vi leve med
små-fejl indtil næste release/version? Svar: Ja, det kan vi...). Men:

Men i simple ting laver jeg ikke fejl. Vi snakker om noget kode der skal
detektere og handle på 3 måder: Åbn/lukke/ignorer. Det er kraftedme lige
til at overskue!!!

Og som enhver dygtig programmør, tester jeg min kode indtil jeg er
tilfreds og dette med kun 3 mulige udfald er sgu' lige til at overskue...

Jeg vil vove den påstand at man er idiot, hvis man ikke kan overskue de
3 mulige udfald og det kræver virkeligt ikke ret meget at implementere....

Men nu var mail så bare et eksempel - jeg har som sagt bedre måder at
åbne/lukke sshd på som jeg vil eksperimentere med.

** Posted from http://www.teranews.com **

Michael Zedeler (15-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 15-05-08 19:58

Santa Claus wrote:
> Og som enhver dygtig programmør, tester jeg min kode indtil jeg er
> tilfreds og dette med kun 3 mulige udfald er sgu' lige til at overskue...
>
> Jeg vil vove den påstand at man er idiot, hvis man ikke kan overskue de
> 3 mulige udfald og det kræver virkeligt ikke ret meget at implementere....

Har du ikke et virkeligt navn, så jeg kan notere det ned i min sorte bog?

Mvh. Michael.

Anders Wegge Jakobse~ (14-05-2008)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 14-05-08 21:48

Santa Claus <free_presents@greenland> writes:

> Uha... Programmering er ikke "komplekst" for mig og jeg har 100%
> styr på ideen. Men det er da fint at du kan snakke godt for din syge
> moster. Skal vi lige huske:

Siden du selv mener du er så klog, gider jeg ikke spilde tid på at
diskutere med dig. Men jeg forstår ikke hvorfor du startede med at
stille et spørgsmål, når det sidenhen viste sig at du kun var
interesseret i hvor meget andre ville falde på halen over din "sublime
intelligens".

Farvel - taber.

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

Santa Claus (15-05-2008)
Kommentar
Fra : Santa Claus


Dato : 15-05-08 19:16

Anders Wegge Jakobsen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Uha... Programmering er ikke "komplekst" for mig og jeg har 100%
>> styr på ideen. Men det er da fint at du kan snakke godt for din syge
>> moster. Skal vi lige huske:
>
> Siden du selv mener du er så klog, gider jeg ikke spilde tid på at
> diskutere med dig. Men jeg forstår ikke hvorfor du startede med at
> stille et spørgsmål, når det sidenhen viste sig at du kun var

Nu skal jeg fortælle dig det, "taber" (for at blive i din verden, jvf.
det du skriver herunder):

> interesseret i hvor meget andre ville falde på halen over din "sublime
> intelligens".
>
> Farvel - taber.

Jeg stillede et spørgsmål, fordi jeg vidste ikke der (dengang) var
fjolser som dig, der udtalte dig om ting du faktisk slet ikke har
forstand på og du insisterede gentagne gange på at misforstå hvad jeg
skrev og du insisterede på at at fremhæve hvor "dum" jeg var (når man så
gik din argumentation igennem, så er den så latterlig og ikke-saglig at
jeg kan godt se at situationen er lige omvendt: Du er jo den lille dreng
i klassen, der bare råber op om noget du ikke fatter...).

I mine øjne er du bare en lille dreng, uden megen administrator-erfaring
der bare bevidst misforstod hvad jeg skrev hele tiden (EKS: JEG KØRTE
IKKE NOGEN WEBSERVER OG HAR ALDRIG HAFT PLANER OM DET!!!!!). Jeg gentog
mig selv mange gange, men du syntes så at du kunne tillade dig at svine
mig til for at være "dum" for at køre webserver med root-privilegier (et
eksempel - din tankegang i det du skriver er gennemgående fuldstændig
latterlig hele vejen igennem).

Derudover har jeg takket et par folk som er kommet med fine ting og helt
i tråd med hvad emnet handler om (du hører ikke med her)...

Jeg er meget reel og fair overfor den gruppe af folk som rent faktisk
har diskuteret sikkerhed og fortalt hvad de gør ved hackere (du hører
ikke med her - det er nok din manglende erfaring på området der spiller
ind).

Det vigtigste for at kunne få min respekt, er at man forstår sikkerhed.
Derfor får du ikke min respekt... Du aner virkeligt ikke hvad du snakker
om. Det er nok derfor der er så meget tilsvining i dine indlæg og så
lidt fornuftigt...

** Posted from http://www.teranews.com **

Michael Zedeler (15-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 15-05-08 19:40

Santa Claus wrote:
> [...]
> Jeg er meget reel og fair overfor den gruppe af folk som rent faktisk
> har diskuteret sikkerhed og fortalt hvad de gør ved hackere (du hører
> ikke med her - det er nok din manglende erfaring på området der spiller
> ind).

Med mindre man altså siger dig imod. Velkommen i min killfile.

Mvh. Michael.

Santa Claus (17-05-2008)
Kommentar
Fra : Santa Claus


Dato : 17-05-08 11:27

Michael Zedeler wrote:
> Santa Claus wrote:
>> [...]
>> Jeg er meget reel og fair overfor den gruppe af folk som rent faktisk
>> har diskuteret sikkerhed og fortalt hvad de gør ved hackere (du hører
>> ikke med her - det er nok din manglende erfaring på området der
>> spiller ind).
>
> Med mindre man altså siger dig imod. Velkommen i min killfile.
>
> Mvh. Michael.

Det skal være mig en fornøjelse at være der så jeg takker for at undgå
flere af dine latterlige og useriøse offtopic indlæg i tråden.

** Posted from http://www.teranews.com **

Michael Zedeler (17-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 17-05-08 22:44

Santa Claus wrote:
> Michael Zedeler wrote:
>> Santa Claus wrote:
>>> [...]
>>> Jeg er meget reel og fair overfor den gruppe af folk som rent faktisk
>>> har diskuteret sikkerhed og fortalt hvad de gør ved hackere (du hører
>>> ikke med her - det er nok din manglende erfaring på området der
>>> spiller ind).
>>
>> Med mindre man altså siger dig imod. Velkommen i min killfile.
>
> Det skal være mig en fornøjelse at være der så jeg takker for at undgå
> flere af dine latterlige og useriøse offtopic indlæg i tråden.

Nu har du jo afsløret at du godt ved at du er en klaphat. Ellers havde
jeg fået dit navn nu.

Men det er da fint. Lad os endelig aftale at vi ignorerer hinanden. Jeg
er ærgelig over ikke at vide hvad du hedder i fald jeg skulle løbe ind i
dig i forbindelse med mit arbejde, men sker det vil jeg sikkert kende
dig på dit skæg og den røde hue.

Mvh. Michael.

Santa Claus (18-05-2008)
Kommentar
Fra : Santa Claus


Dato : 18-05-08 15:40

Michael Zedeler wrote:
> Santa Claus wrote:
>> Michael Zedeler wrote:
>>> Santa Claus wrote:
>>>> [...]
>>>> Jeg er meget reel og fair overfor den gruppe af folk som rent
>>>> faktisk har diskuteret sikkerhed og fortalt hvad de gør ved hackere
>>>> (du hører ikke med her - det er nok din manglende erfaring på
>>>> området der spiller ind).
>>>
>>> Med mindre man altså siger dig imod. Velkommen i min killfile.
>>
>> Det skal være mig en fornøjelse at være der så jeg takker for at undgå
>> flere af dine latterlige og useriøse offtopic indlæg i tråden.
>
> Nu har du jo afsløret at du godt ved at du er en klaphat. Ellers havde
> jeg fået dit navn nu.

Jeg troede jeg kom i dit kill-filter fjols... Men det er måske bare en
talemåde du har og når du skriver du putter folk i dit kill-filter så
betyder det ikke andet end at du alligevel læser med bagefter...

Du kunne gøre dig den tjeneste (og mig også), rent faktisk at overholde
hvad du skriver i fremtiden. Det virker meget mere seriøst og mindre
forstyrrende...


> Men det er da fint. Lad os endelig aftale at vi ignorerer hinanden. Jeg
> er ærgelig over ikke at vide hvad du hedder i fald jeg skulle løbe ind i
> dig i forbindelse med mit arbejde, men sker det vil jeg sikkert kende
> dig på dit skæg og den røde hue.
>
> Mvh. Michael.

Det du skriver, virker på ingen måder seriøst på mig. Jeg kommer her for
at diskutere et fagligt emne og du opfører dig som et lille pattebarn og
er meget off-topic og langt uden for emnet og hvad der var min intention
herinde.

Men jeg skal da nok huske dit navn, hvis det er det du så gerne vil have
og hvis du kommer så meget omkring, at du tror jeg vil støde på dig en
dag. I mine øjne er du bare et lille pattebarn, "Michael Zedeler" og det
virker ikke som om du har forstået usenet-reglerne om at være on-topic...

Jeg kan se du har en hjemmeside her: http://michael.zedeler.dk/

Med din opfordring, skal jeg nok gøre alt for at undgå dig - nu ved jeg
jo hvem du er og du færdes i KBHs-området. Vi har en aftale. Vi kan jo
ikke have små pattebørn rendende rundt som konsulenter i seriøse
virksomheder, så du vil blive fra-sorteret sålænge jeg husker på dit
navn og har medindflydelse på kommende samarbejdspartnere.


** Posted from http://www.teranews.com **

Christian E. Lysel (11-05-2008)
Kommentar
Fra : Christian E. Lysel


Dato : 11-05-08 14:19

On Sun, 2008-05-11 at 10:11 +0000, Andreas Plesner Jacobsen wrote:
> >> Den har da netop fået rettigheder til at starte ssh.
> >
> > Det er startssh brugeren der har fået rettigheden via sudo.
>
> Og dermed indirekte webserveren.

Hvilke rettigheder har webserveren fået til at start ssh?

> Der er så mange "men"er til den løsning

Hvilke?

> Hvis man på den anden side forstår den ville jeg ikke
> forvente at man var fjollet nok til at stoppe sin sshd i tide og utide.

Enig, personligt ville jeg bruge tiden andre ting.


Michael Zedeler (11-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 11-05-08 16:39

Santa Claus wrote:
> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?

De gange jeg har set dette spørgsmål blive stillet, har andre svaret
fail2ban. Mon ikke det er noget...

Mvh. Michael.

Santa Claus (11-05-2008)
Kommentar
Fra : Santa Claus


Dato : 11-05-08 17:26

Michael Zedeler wrote:
> Santa Claus wrote:
>> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>
> De gange jeg har set dette spørgsmål blive stillet, har andre svaret
> fail2ban. Mon ikke det er noget...

Jo, tak. Kigger på det...

** Posted from http://www.teranews.com **

Martin M. S. Pederse~ (12-05-2008)
Kommentar
Fra : Martin M. S. Pederse~


Dato : 12-05-08 01:10

Santa Claus wrote:
> Hej NG,
>
> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>
> Gør I noget som helst?
>

Anmelde dem og spilde politiet tid, så er svaret: "nej, aldrig".

Jeg har flg. i min iptables, så alle ip'er, der mere end 8 gange på et
minut forsøger at lave en ftp til min server, bliver blokeret.

-A INPUT -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW -m recent
--update --seconds 60 --hitcount 4 --name DEFAULT --rsource -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW -m recent
--set --name DEFAULT --rsource

/Martin

Niels Kristian Jense~ (12-05-2008)
Kommentar
Fra : Niels Kristian Jense~


Dato : 12-05-08 09:54

"Martin M. S. Pedersen" <traxplayer@gmail.com> wrote in news:48278ab1$0
$15877$edfadb0f@dtext01.news.tele.dk:

>> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>>
> Anmelde dem og spilde politiet tid, så er svaret: "nej, aldrig".

Hvis det er ofte nok, så:

https://www.cert.dk/anmeldelsesblanket/

Valg: Porscan hvis de ikke kommer ind, hacking hvis det faktisk kommer ind.

Det er ikke politiet, der klarer den slags - først når der er penge eller
personer i fare.

Mvh. NKJ

Santa Claus (12-05-2008)
Kommentar
Fra : Santa Claus


Dato : 12-05-08 15:13

Niels Kristian Jensen wrote:
> "Martin M. S. Pedersen" <traxplayer@gmail.com> wrote in news:48278ab1$0
> $15877$edfadb0f@dtext01.news.tele.dk:
>
>>> Spørgsmål: Hvad gør i ved IP-adresser der forsøger at hacke jer?
>>>
>> Anmelde dem og spilde politiet tid, så er svaret: "nej, aldrig".

Tak for ip-tables kommentaren. Jeg kigger nærmere på den...


> Hvis det er ofte nok, så:
>
> https://www.cert.dk/anmeldelsesblanket/
>
> Valg: Porscan hvis de ikke kommer ind, hacking hvis det faktisk kommer ind.

Men hacking er vel også for politiet, hvis hackere trænger ind?

> Det er ikke politiet, der klarer den slags - først når der er penge eller
> personer i fare.

Selvom der ikke er penge eller personer i fare: Hvis hackere trænger
ind, så tager politiet sig vel engang i mellem af hacking-sager???

Hvad kan de der cert.dk gøre? De er vel et privat firma og ikke nogen
offentlig myndighed eller foretagende, er de?

Jeg kender ikke rigtigt cert, bortset fra at have set navnet...

** Posted from http://www.teranews.com **

Niels Kristian Jense~ (13-05-2008)
Kommentar
Fra : Niels Kristian Jense~


Dato : 13-05-08 12:40

Santa Claus <free_presents@greenland> wrote in
news:15cf3$4828505d$12256@news.teranews.com:

> Hvad kan de der cert.dk gøre? De er vel et privat firma og ikke nogen
> offentlig myndighed eller foretagende, er de?
>
> Jeg kender ikke rigtigt cert, bortset fra at have set navnet...

Læs mere:
https://www.cert.dk/kontakt/

Eller hvis du er utålmodig:
De kigger på din anmeldelse, vurderer om den har en kvalitet som de vil
være bekendt at sende videre, og så sender den til relevante ISP'er ude
verden. Derefter er det en sag mellem ISP og kunde.

Jeg har flere gange haft god nytte af CERTs evner. I flere tilfælde har jeg
fået en takke-mail retur fra indehaveren af det hackede system.

Mvh. NKJensen

Santa Claus (13-05-2008)
Kommentar
Fra : Santa Claus


Dato : 13-05-08 20:51

Niels Kristian Jensen wrote:
> Santa Claus <free_presents@greenland> wrote in
> news:15cf3$4828505d$12256@news.teranews.com:
>
>> Hvad kan de der cert.dk gøre? De er vel et privat firma og ikke nogen
>> offentlig myndighed eller foretagende, er de?
>>
>> Jeg kender ikke rigtigt cert, bortset fra at have set navnet...
>
> Læs mere:
> https://www.cert.dk/kontakt/
>
> Eller hvis du er utålmodig:
> De kigger på din anmeldelse, vurderer om den har en kvalitet som de vil
> være bekendt at sende videre, og så sender den til relevante ISP'er ude
> verden. Derefter er det en sag mellem ISP og kunde.
>
> Jeg har flere gange haft god nytte af CERTs evner. I flere tilfælde har jeg
> fået en takke-mail retur fra indehaveren af det hackede system.

Tusind tak...
** Posted from http://www.teranews.com **

Christian E. Lysel (12-05-2008)
Kommentar
Fra : Christian E. Lysel


Dato : 12-05-08 15:51


On Mon, 2008-05-12 at 16:07 +0200, Santa Claus wrote:
> Jeg udtalte mig alene om det at tænde og slukke for serveren, når man
> havde brug for det - metoden kunne man så diskutere - f.eks. gav jeg
> udtrykkeligt et meget tydeligt eksempel, med at man sendte en mail med
> et bestemt indhold så man undgik sikkerhedshuller i en webserver. Jeg
> har ihvertfald ikke hørt om nogen mail-exploits i nyere tid i denne retning.

1) Noget så simpelt som et mail loop ville konstant lukke serveren.

2) En 3. part kan ved at angribe klienten eller mail hotellet eller hvad
der nu bruges, gensende mailen og derved lukke serveren.

3) Et DNS angreb kan få mailen til at gå til angriberen, der der med kan
sende mailen og lukke serveren.


For at fortælle om huller i den aktuelle implementation, må du fortælle
mere præcist om setupet.




QBIC [6400] (18-05-2008)
Kommentar
Fra : QBIC [6400]


Dato : 18-05-08 07:49

Prøv lige at høre gutter
Vi forsøger at hjælpe hinanden ikke svine hinanden til

Skal vi ikke holde det i en sober tone og fremover kun notere det positive
og komme med de konstruktive dele til hvordan man løser problemerne

fut til dk.snak.mudderkastning hvis i har noget grisseri for mod hinanden og
husk så lige at notere videre i denne tråds om rådene til hvorledes
problemet løses
uden slemme fyord som burde være i den førnævnte mudderting.


/ Niels Pedersen http://www.qbic.dk




Michael Zedeler (18-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 18-05-08 09:05

QBIC [6400] wrote:
> Prøv lige at høre gutter
> Vi forsøger at hjælpe hinanden ikke svine hinanden til
>
> Skal vi ikke holde det i en sober tone og fremover kun notere det positive
> og komme med de konstruktive dele til hvordan man løser problemerne

Jeg har tænkt lidt over ovenstående og er kommet frem til at hvis folk i
fremtiden svarer så øretæveindbydende som julemanden, vil de få igen med
samme mønt. Der er langt imellem folk der er så ubehøvledede, men det
sidste jeg vil acceptere er at de får lov til at gå herfra uden at være
klar over at deres opførsel er fuldstændigt uacceptabel.

Det ovenstående drejer selvfølgelig diskussionen væk fra emnet, så jeg
har sat FUT til dk.admin.netikette hvor vi kan fortsætte hvis nogen
føler for det.

Mvh. Michael.

Santa Claus (18-05-2008)
Kommentar
Fra : Santa Claus


Dato : 18-05-08 15:45

QBIC [6400] wrote:
> Prøv lige at høre gutter
> Vi forsøger at hjælpe hinanden ikke svine hinanden til
>
> Skal vi ikke holde det i en sober tone og fremover kun notere det positive
> og komme med de konstruktive dele til hvordan man løser problemerne

Jo, det var jo det jeg hele tiden ville.

> fut til dk.snak.mudderkastning hvis i har noget grisseri for mod
> hinanden og
> husk så lige at notere videre i denne tråds om rådene til hvorledes
> problemet løses
> uden slemme fyord som burde være i den førnævnte mudderting.

Jeg har fra starten kun været interesseret i den faglige diskussion.

Problemet er bare at der i mine øjne har været et par useriøse fjolser,
der ikke har villet nogen faglig diskussion.

Tag f.eks. http://michael.zedeler.dk (som jeg ikke kan anbefale som
konsulent, med den mangel på respekt for saglighed jeg ser og useriøsitet).

Jeg ved ikke hvor mange gange jeg har forklaret min præmis om ikke at
køre unødvendige services, men de gange hvor der har været on-topic og
fornuftige indlæg, har jeg da nydt det og takket folk for det - hver
eneste gang...
** Posted from http://www.teranews.com **

Andreas Plesner Jaco~ (18-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 18-05-08 16:14

On 2008-05-18, Santa Claus <free_presents@greenland> wrote:
>>
>> Skal vi ikke holde det i en sober tone og fremover kun notere det positive
>> og komme med de konstruktive dele til hvordan man løser problemerne
>
> Jo, det var jo det jeg hele tiden ville.

Hvorfor begyndte du så at kalde folk fjolser?

--
Andreas

Santa Claus (20-05-2008)
Kommentar
Fra : Santa Claus


Dato : 20-05-08 07:48

Andreas Plesner Jacobsen wrote:
> On 2008-05-18, Santa Claus <free_presents@greenland> wrote:
>>> Skal vi ikke holde det i en sober tone og fremover kun notere det positive
>>> og komme med de konstruktive dele til hvordan man løser problemerne
>> Jo, det var jo det jeg hele tiden ville.
>
> Hvorfor begyndte du så at kalde folk fjolser?

Man skal kalde folk hvad de er og være sand overfor sig selv. Der er
ihvertfald er par fjolser der i tråden har skrevet at jeg ikke havde
forstand på sikkerhed og et vist antal fjolser der ville fraråde mig at
starte/stoppe sshd for at minimere tidspunktet hvor jeg kunne blive
hacket på. Fjolserne syntes tilsyneladende at det var bedre at køre sshd
24/7/365, hvor jeg hele tiden har betragtet det som unødvendigt og jeg
bryder mig ikke om det. Fjolserne kunne ikke forstå præmissen.

Men nu er fjolsernes argumenter fuldstændigt forsvundet (der er nok
nogen der endeligt har fattet præmissen), fordi de kan ikke forklare
hvorfor det skulle være så slemt kun at lade sshd stå åben i meget kort
tid, når man nu kun skal bruge det meget kortvarigt...

** Posted from http://www.teranews.com **

Andreas Plesner Jaco~ (20-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 20-05-08 08:33

On 2008-05-20, Santa Claus <free_presents@greenland> wrote:

>>>> Skal vi ikke holde det i en sober tone og fremover kun notere det positive
>>>> og komme med de konstruktive dele til hvordan man løser problemerne
>>> Jo, det var jo det jeg hele tiden ville.
>>
>> Hvorfor begyndte du så at kalde folk fjolser?
>
> Man skal kalde folk hvad de er og være sand overfor sig selv. Der er
> ihvertfald er par fjolser der i tråden har skrevet at jeg ikke havde

Jeg tror du står ret alene med at mene at det er sobert at kalde folk
for fjolser.

EOD herfra, jeg gider ikke spilde mere tid på dine uforskammetheder.

> Men nu er fjolsernes argumenter fuldstændigt forsvundet (der er nok
> nogen der endeligt har fattet præmissen)

Jeg tror blot de har givet op. Det gjorde jeg ihvertfald i det øjeblik
det første "fjols" faldt, da det tangerer til en Godwin.

--
Andreas

Santa Claus (21-05-2008)
Kommentar
Fra : Santa Claus


Dato : 21-05-08 21:38

Andreas Plesner Jacobsen wrote:
> On 2008-05-20, Santa Claus <free_presents@greenland> wrote:
>
>>>>> Skal vi ikke holde det i en sober tone og fremover kun notere det positive
>>>>> og komme med de konstruktive dele til hvordan man løser problemerne
>>>> Jo, det var jo det jeg hele tiden ville.
>>> Hvorfor begyndte du så at kalde folk fjolser?
>> Man skal kalde folk hvad de er og være sand overfor sig selv. Der er
>> ihvertfald er par fjolser der i tråden har skrevet at jeg ikke havde
>
> Jeg tror du står ret alene med at mene at det er sobert at kalde folk
> for fjolser.

Jeg har ikke snakket noget om hvad der er sobert og hvad der ikke er sobert.

> EOD herfra, jeg gider ikke spilde mere tid på dine uforskammetheder.

Du har jo heller ikke haft noget fornuftigt at sige så der er intet at
savne, hvis det er sandt at du laver EOD (tværtimod).

>> Men nu er fjolsernes argumenter fuldstændigt forsvundet (der er nok
>> nogen der endeligt har fattet præmissen)
>
> Jeg tror blot de har givet op. Det gjorde jeg ihvertfald i det øjeblik
> det første "fjols" faldt, da det tangerer til en Godwin.

ALLE MED FORSTAND PÅ SIKKERHED SIGER AT MAN IKKE SKAL KØRE UNØDVENDIGE
SERVICES OG LADE DEM STÅ ÅBNE FOR HACKERE!!!

Det samme har jeg hele tiden været fortaler for igennem tråden.


** Posted from http://www.teranews.com **

Michael Rasmussen (21-05-2008)
Kommentar
Fra : Michael Rasmussen


Dato : 21-05-08 21:47

On Wed, 21 May 2008 22:37:57 +0200, Santa Claus
<free_presents@greenland> wrote:

>ALLE MED FORSTAND PÅ SIKKERHED SIGER AT MAN IKKE SKAL KØRE UNØDVENDIGE
>SERVICES OG LADE DEM STÅ ÅBNE FOR HACKERE!!!
>
>Det samme har jeg hele tiden været fortaler for igennem tråden.

Der er såmæn heller ingen der modsiger dig på det punkt....

Det er din ide med at kontrollere SSH-serveren externt fra, der giver
kuldegysninger....

<mlr>

Santa Claus (22-05-2008)
Kommentar
Fra : Santa Claus


Dato : 22-05-08 14:44

Michael Rasmussen wrote:
> On Wed, 21 May 2008 22:37:57 +0200, Santa Claus
> <free_presents@greenland> wrote:
>
>> ALLE MED FORSTAND PÅ SIKKERHED SIGER AT MAN IKKE SKAL KØRE UNØDVENDIGE
>> SERVICES OG LADE DEM STÅ ÅBNE FOR HACKERE!!!
>>
>> Det samme har jeg hele tiden været fortaler for igennem tråden.
>
> Der er såmæn heller ingen der modsiger dig på det punkt....
>
> Det er din ide med at kontrollere SSH-serveren externt fra, der giver
> kuldegysninger....

Prøv forklar hvad problemet er og hvordan du vil hacke/udnytte det, hvis
du mener det er bedre at køre sshd 24/7/365 og bryde med princippet om
at man ikke skal lade unødvendige services stå åbne hele tiden (sshd der
står åben og er unødvendig i 99% af tiden er *IKKE GOD SIKKERHED*, IMO)!

Og man kommer altså ofte ud for at stå udenfor og gerne vil have adgang
til serveren, når det virkeligt er man står og mangler noget!


Hvis du kan forklare det ordentligt og på en fornuftig og ikke-barnlig
måde, så er det som om at du endeligt er kommet tilbage til at være
on-topic fordi jeg kan ikke se problemet i at efterspørge en sikker
metode til udefra at åbne/lukke for services kortvarigt - der er nogen
flere herinde der deler min holdning såvidt jeg kan se, på det område.

Jeg står ihvertfald ikke alene med den holdning til sikkerhed, men
utroligt hvor mange fjolser der ikke fattede præmissen, selvom den er
gentaget igen og igen og igen og igen i tråden....

Der er nogen herinde der aldrig har taget emnet seriøst lige fra starten
af og det er sgu' ikke min skyld!

** Posted from http://www.teranews.com **

Christian Laursen (22-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 22-05-08 16:32

Santa Claus <free_presents@greenland> writes:

> Der er nogen herinde der aldrig har taget emnet seriøst lige fra
> starten af og det er sgu' ikke min skyld!

Sig mig lige engang, du skulle vel aldrig være nazist?

--
Christian Laursen

Klaus Ellegaard (22-05-2008)
Kommentar
Fra : Klaus Ellegaard


Dato : 22-05-08 17:23

Santa Claus <free_presents@greenland> writes:

>> Det er din ide med at kontrollere SSH-serveren externt fra, der giver
>> kuldegysninger....

>Prøv forklar hvad problemet er og hvordan du vil hacke/udnytte det, hvis
>du mener det er bedre at køre sshd 24/7/365 og bryde med princippet om
>at man ikke skal lade unødvendige services stå åbne hele tiden (sshd der
>står åben og er unødvendig i 99% af tiden er *IKKE GOD SIKKERHED*, IMO)!

Der er tusinder af dygtige folk, der konstant er over sshd's kode,
og især den lille klat af den, der er priviligeret. Det er nok ikke
helt ved siden af, at der er lavet 100.000 code-reviews på den
efterhånden.

Hvor mange eksterne code reviews er der lavet på din kode, der styrer
din sshd? Vil du sætte alle dine penge og personlige data på højkant
i et sådant review?

Hvis du ikke vil det, er det så mere eller mindre risikabelt at have
en bunke ikke-reviewed kode kørende 24/7 end noget, der er reviewed
100.000 gange?

Security by obscurity har ikke nogen god track record. Man kan starte
med at hacke din webserver - og så har man tilføjet sshd som vektor
igen-igen. Apache i udgaver med mange ekstrafeatures har ikke den
bedste track record, så reelt er man ude i, at du sikrer noget meget
sikkert ved hjælp af noget relativt usikkert.

Det bliver den samlede sikkerhed ikke bedre af. Men den bliver heller
ikke værre, end hvis du bare kørte sshd 24/7. Med andre ord: du har i
bedste fald ikke opnået noget. I værste fald er der fejl i den ekstra
kode, der styrer sshd samt al koden i Apache med en del aktiverede
moduler, og som derfor i sig selv er en vektor. Hvilket i praksis gør
din løsning meget mere risikabel end sshd alene, fordi "noget" i din
del af koden har priviligeret adgang nok til at starte sshd som root.

Selv hvis det "bare" er en "sudo /etc/init.d/ssh start", vil du have
tilføjet følgende vektorer:

* meget af koden i Apache med moduler
* evt. PHP hvis din skjulte side bruger det
* det meste af koden i sudo og følger af evt. fejl i sudoers
* init-scriptet ssh (som normalt ikke kan tilgås udefra)
* dit eget system til at binde websiden og resten sammen

Du har derfor mange-doblet antallet af kodelinjer, der kan tjene som
vektor i et angreb mod din maskine. I forhold til bare at køre sshd
24/7.

>Og man kommer altså ofte ud for at stå udenfor og gerne vil have adgang
>til serveren, når det virkeligt er man står og mangler noget!

Det er derfor, man har sin nøgle på sig. Det er i praksis det mest
sikre at have sshd kørende med nøgler som eneste adgangsmetode...
den er rimelig immun over for brute force, som der ellers er nok af
derude på username/password, og opbevarer man nøglen fornuftigt, er
det en "ren" løsning med 100.000 code reviews bag sig og ingen ekstra
kode kørende som priviligeret bruger.

Samtidig har man den fordel, at når der endelig sker noget grimt med
ssh, så bliver det opdaget hurtigt, og der bliver larmet rigtig meget
om det alle steder. Se bare den seneste uges Debian-ups.

Mvh.
   Klaus.

Klaus Ellegaard (22-05-2008)
Kommentar
Fra : Klaus Ellegaard


Dato : 22-05-08 17:55

Klaus Ellegaard <klausellegaard@msn.com> writes:

>Security by obscurity har ikke nogen god track record. Man kan starte
>med at hacke din webserver - og så har man tilføjet sshd som vektor
>igen-igen. Apache i udgaver med mange ekstrafeatures har ikke den
>bedste track record, så reelt er man ude i, at du sikrer noget meget
>sikkert ved hjælp af noget relativt usikkert.

Og så kan jeg se, at jeg også er hoppet i den med, hvem der kører
en webserver eller ej.

Men bevares, udskift "Apache" med "Sendmail/fetchmail/noget andet",
og så gælder samme argumenter stadig:

* meget af koden i Sendmail/Postfix/Fetchmail/whatever
* evt. perl/python/... eller hvad man bruger til interfacing
* det meste af koden i sudo og følger af evt. fejl i sudoers
* init-scriptet ssh (som normalt ikke kan tilgås udefra)
* dit eget system til at binde websiden og resten sammen

Mvh.
   Klaus.

Santa Claus (23-05-2008)
Kommentar
Fra : Santa Claus


Dato : 23-05-08 20:49

Klaus Ellegaard wrote:
> Klaus Ellegaard <klausellegaard@msn.com> writes:
>
>> Security by obscurity har ikke nogen god track record. Man kan starte
>> med at hacke din webserver - og så har man tilføjet sshd som vektor
>> igen-igen. Apache i udgaver med mange ekstrafeatures har ikke den
>> bedste track record, så reelt er man ude i, at du sikrer noget meget
>> sikkert ved hjælp af noget relativt usikkert.
>
> Og så kan jeg se, at jeg også er hoppet i den med, hvem der kører
> en webserver eller ej.

Ok, tak. Nu kom jeg godtnok til at sende et lettere irriteret svar fordi
jeg må ærligt indrømme at jeg ikke kunne se hvad meningen med det du
skrev var.

> Men bevares, udskift "Apache" med "Sendmail/fetchmail/noget andet",
> og så gælder samme argumenter stadig:

Nej de gør ikke...

Apache ved du kører på maskinen og har kendte sikkerhedsproblemer og er
stort og for almindelige mennesker, uoverskueligt (jeg er ikke
maintainer og har ingen planer om det) - du ved der accepteres
forbindelser på port 80 og vil sikkert (forholdsvist) let kunne finde ud
af at udnytte sikkerhedshuller hvis du er hacker og bruger meget tid på
den slags. Derudover er jeg modstander af unødvendige services og har
ikke brug for nogen webserver - det er noget andet, hvis webserveren i
forvejen kørte.

Hvordan vil du vide at der er noget at komme efter et sted, hvor du har
scannet og intet er åbent?

Du ville ikke kunne komme ind!!!

Som jeg tidligere har spugt: Hvordan ville du hacke dig ind? Der er 2
sitationer:

1) sshd er åben.
2) sshd er lukket (og du ved ikke hvordan du åbner sshd, så du kan komme
ind).

Hvad er sikrest og hvordan vil du hacke dig ind? Metode 2 gør det i
praksis helt umuligt for dig. Metode 1 kan også sættes godt op, men
metode 2 udelukker ikke tricks fra metode 1 til at beskytte sig med -
man kan supplere og det vil jeg gøre (jeg har dog en lille arbejdspukkel
fra et andet projekt lige for tiden - men snarest vil jeg gøre det).

> * meget af koden i Sendmail/Postfix/Fetchmail/whatever

Hvordan vil du udnytte det?

> * evt. perl/python/... eller hvad man bruger til interfacing

Hvordan vil du udnytte det?

> * det meste af koden i sudo og følger af evt. fejl i sudoers

Hvordan vil du udnytte det?

> * init-scriptet ssh (som normalt ikke kan tilgås udefra)

Hvordan vil du udnytte det?

> * dit eget system til at binde websiden og resten sammen

FAT DET NU: JEG HAR IKKE NOGEN WEBSIDE DER ER "BUNDET OP"...

Jeg syntes det er dybt useriøst det du kommer med...


Men overbevis mig gerne om det modsatte:


Hvordan vil du udnytte flg. ting til at hacke mig?

> * meget af koden i Sendmail/Postfix/Fetchmail/whatever
> * evt. perl/python/... eller hvad man bruger til interfacing
> * det meste af koden i sudo og følger af evt. fejl i sudoers
> * init-scriptet ssh (som normalt ikke kan tilgås udefra)


Jeg er ikke bleg for at indrømme hvis jeg tager fejl, men hidtil har
ingen i tråden fortalt mig hvordan de vil hacke mig uden at vide noget
som helst....


Jeg vover den påstand at du snakker om noget du ikke helt har styr på,
fordi i virkeligheden kan jeg ikke se hvordan du vil hacke mig - og vær
gerne den første i tråden til at fortælle mig hvordan du vil hacke
mig... Gør det godt og jeg tager mine ord i mig igen og tager alt hvad
jeg har skrevet i mig og indrømmer at jeg er blevet klogere og vil
derefter køre sshd 24/7/365 selvom det kun er nødvendigt i under 1% af
tiden...


** Posted from http://www.teranews.com **

Klaus Ellegaard (23-05-2008)
Kommentar
Fra : Klaus Ellegaard


Dato : 23-05-08 22:19

Santa Claus <free_presents@greenland> writes:

>Jeg vover den påstand at du snakker om noget du ikke helt har styr på,
>fordi i virkeligheden kan jeg ikke se hvordan du vil hacke mig - og vær
>gerne den første i tråden til at fortælle mig hvordan du vil hacke
>mig...

Jeg har ikke nogen opskrift, og det er som sådan heller aldrig
pointen i en sikkerhedsmæssig vurdering. Det, der er sikkert i
dag, er ikke nødvendigvis sikkert i morgen. En konkret metode
er altså forældet, så snart den er opfundet.

Strengt taget behøver man ikke andet end at være på samme net
som dig, når du "åbner" din sshd. Når det foregår via mail,
er det sikkert klartekst, og man kan altså sniffe metoden uden
problemer.

Men hele pointen er, at hvis sshd har 10.000 linjer kode, der
potentielt kan udnyttes, og din løsning samlet set involverer
5 millioner linier (mailserver, perl, fetchmail, osv), så er
din løsning ca. 500 gange mere risikabel end at køre sshd alene.

Selvom din sshd kun kører 1% af tiden, er din hjemmelavede
løsning så stadig 5 gange mere risikabel end sshd 24/7. Forudsat
ovenstående tal holder, naturligvis. Det gider jeg ikke bruge
tid på at undersøge - primært fordi dine mod"argumenter" aldrig
er andet end, at vi allesammen er useriøse og dumme. Tyv tror,
hver mand stjæler.

Så jeg vil da ønske dig alt mulig held og lykke. Risikoen for
at få en hjemme-pc hacket ad andet end automatisk vej er ret
lille. Der er alligevel ikke noget at komme efter, så i praksis
er du sikker nok. Det ville du ganske sikkert også være med
telnetd eller rlogind åben 24/7.

Men lad være med at tro, at din ide er en farbar vej i nogen
form for professionelt setup. Enhver IT-revision vil dumpe en
sådan løsning, inden revisoren har fået den første kop kaffe.

Mvh.
   Klaus.

Santa Claus (25-05-2008)
Kommentar
Fra : Santa Claus


Dato : 25-05-08 22:01

Klaus Ellegaard wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Jeg vover den påstand at du snakker om noget du ikke helt har styr på,
>> fordi i virkeligheden kan jeg ikke se hvordan du vil hacke mig - og vær
>> gerne den første i tråden til at fortælle mig hvordan du vil hacke
>> mig...
>
> Jeg har ikke nogen opskrift, og det er som sådan heller aldrig
> pointen i en sikkerhedsmæssig vurdering. Det, der er sikkert i

Dvs: Du ved ikke hvordan du vil hacke dig ind?

Jeg er vildt imponeret over dig... Du er virkeligt dygtig.

> dag, er ikke nødvendigvis sikkert i morgen. En konkret metode
> er altså forældet, så snart den er opfundet.

Du skal først lige opfinde en metode til at hacke dig ind inden du
begynder at snakke om "forældelse"...

Ingen ved hvordan jeg laver det og ingen kan se det. Det er umuligt at
finde ud af hvordan det virker, udefra... Du skal allerede være hacket
ind, før du kan gennemskue det og alligevel skal du allerede vide hvad
du skal kigge efter, for at finde det...

> Strengt taget behøver man ikke andet end at være på samme net
> som dig, når du "åbner" din sshd. Når det foregår via mail,
> er det sikkert klartekst, og man kan altså sniffe metoden uden
> problemer.

NEJ! FAT DET NU! Jeg har allerede skrevet at selvom du opfanger mailen,
så ville du ikke vide hvad du skulle bruge det til...

Du har ikke fulgt med i tråden. Lad os sige du opfangede denne mail:

-----
jasdfj ajj4a8u9a8pu9 ru ajfvaslkj sklja4tj 45745674
-----

Eller denne mail (det kan laves meget klogere og bedre):
-----
Hej, du skylder mig 83484834538.34873 kr.
-----

Hvad helvede ville du bruge sådan en mail til? Selvom du gensender den,
sker der intet fordi du ingen chance har for at forstå hvad der
åbner/lukker og hvorfor det sker...

Hvordan ville du i første ombæring overhovedet vide at sshd bliver
styret så servicen kan startes og stoppes udefra, f.eks. (knockd / eller
andre ting)?

DU VILLE ALDRIG VIDE DET!

Det skal du ihvertfald fortælle mig, før jeg kan tage dig seriøst (det
er nemlig bedre at slukke og tænde, når det kun er meget kortvarigt man
har brug for det)...

> Men hele pointen er, at hvis sshd har 10.000 linjer kode, der
> potentielt kan udnyttes, og din løsning samlet set involverer
> 5 millioner linier (mailserver, perl, fetchmail, osv), så er
> din løsning ca. 500 gange mere risikabel end at køre sshd alene.

MIN "LØSNING" INDEHOLDER IKKE 5 MIO. LINJER!

Fuldstændigt idiotisk argumentation...

Du har slet ikke fulgt med i tråden... Det det handler om er at lave
noget kode på under 1000 linjer som starter/stopper sshd eller ignorerer
ikke-gyldige forsøg på at gøre det.

VI SNAKKER UNDER 1000 LINJER! Og det er kode der let kan testes og
verificeres...

> Selvom din sshd kun kører 1% af tiden, er din hjemmelavede
> løsning så stadig 5 gange mere risikabel end sshd 24/7. Forudsat
> ovenstående tal holder, naturligvis. Det gider jeg ikke bruge
> tid på at undersøge - primært fordi dine mod"argumenter" aldrig
> er andet end, at vi allesammen er useriøse og dumme. Tyv tror,
> hver mand stjæler.

Fuldstændigt idiotisk argumentation... Så nu er jeg en hacker i dine
øjne... Du har slet ikke fulgt med i tråden...

> Så jeg vil da ønske dig alt mulig held og lykke. Risikoen for
> at få en hjemme-pc hacket ad andet end automatisk vej er ret
> lille. Der er alligevel ikke noget at komme efter, så i praksis
> er du sikker nok. Det ville du ganske sikkert også være med
> telnetd eller rlogind åben 24/7.

Nu handler tråden ikke om beskyttelse af "hjemme-pc'er", men helt
generelt om at få god sikkerhed og undgå at sshd bliver hacket.

Den løsning jeg lægger op til, indebærer at man forstår præmissen om at
når sshd er slukket, så kan man på ingen måde hacke sig ind. Og når man
har brug for sshd, tænder man og kun den der ved hvordan systemet
virker, kan komme ind og kontrollere sshd.

Som skrevet andetsteds: Jeg har kendskab til system(er) med tusindvis af
brugere, hvor jeg ved at noget tilsvarende gør sig gældende for at undgå
hacking (du får ingen detaljer).

Og sådan en løsning som jeg vil lave, laver man ikke fordi alt andet
ikke i dag er godtnok. I morgen kan man blive hacket, hvis ikke man hele
tiden følger med. Man laver det også for øvelsens skyld og for at sove
roligt og ikke behøve at opdatere sshd hver gang der kommer en ny
version m.m. Man laver det bl.a. for at have en server man ikke behøves
at røre ved i 5 år (medmindre den udskiftes før).

> Men lad være med at tro, at din ide er en farbar vej i nogen
> form for professionelt setup. Enhver IT-revision vil dumpe en
> sådan løsning, inden revisoren har fået den første kop kaffe.

Du har ikke rigtigt fattet ideen, kan jeg læse... Det er ellers blevet
gentaget så mange gange, at det snart føles som hundredvist af gange.

VI SNAKKER IKKE 5 MIO. KODE-LINJER!

INGEN IT-REVISION VILLE KUNNE HACKE SIG IND OG DU VILLE HELLER IKKE
KUNNE DET... Enhver ville ihvertfald få gevaldige problemer...

Hvis jeg tager fejl: Så må du forklare igen, hvordan du vil hacke dig
ind - du har ikke forklaret noget som helst indtil videre.

** Posted from http://www.teranews.com **

Klaus Ellegaard (25-05-2008)
Kommentar
Fra : Klaus Ellegaard


Dato : 25-05-08 22:34

Santa Claus <free_presents@greenland> writes:

>NEJ! FAT DET NU! Jeg har allerede skrevet at selvom du opfanger mailen,
>så ville du ikke vide hvad du skulle bruge det til...

Hvad hvis jeg har masser af tid og opfanger 1000 forsøg? Det
lykkedes jo for de allierede at knække tyskernes Enigma på
tilsvarende vis.

Så medmindre du vil påstå, at du er klogere end alle verdens
efterretningstjenester tilsammen, er den stadig gal.

>Hvad helvede ville du bruge sådan en mail til? Selvom du gensender den,
>sker der intet fordi du ingen chance har for at forstå hvad der
>åbner/lukker og hvorfor det sker...

Som tyskerne sagde: "De finder aldrig ud af vores kode". Men
de blev jo altså klogere...

>Du har slet ikke fulgt med i tråden... Det det handler om er at lave
>noget kode på under 1000 linjer som starter/stopper sshd eller ignorerer
>ikke-gyldige forsøg på at gøre det.

Er de 1000 linjer den samlede løsning? Du bruger altså ingen shell
til at starte den med, ingen mailserver til at modtage den med,
ingen sudo til at udføre den med, intet init-script til at starte
selve sshd?

Der er kun 1000 linjer og kernen involveret? Det lyder endnu mere
bekymrende, for så vil alt for meget af det køre med alt for mange
privilegier - hvilket igen kan oversættes til endnu mere usikkert.

>VI SNAKKER UNDER 1000 LINJER! Og det er kode der let kan testes og
>verificeres...

Famous last words igen. 1000 linjers kode kræver meget arbejde at
tjekke igennem. Faktisk er der jo netop fundet ganske mange fejl
i den mængde kode alene i sshd gennem tiden.

Har du 1000+ eksperters udsagn for, at din kode er sikker? Det har
OpenSSH jo haft hele vejen igennem, og alligevel finder man stadig
afledte problemer med den. Måske ikke i selve koden, men så i den
måde, koden anvendes på.

Hvordan kan kode skrevet af én mand nogensinde opnå det samme
niveau af troværdighed som sshd, der er gennemtrevlet tusinder af
gange?

>Den løsning jeg lægger op til, indebærer at man forstår præmissen om at
>når sshd er slukket, så kan man på ingen måde hacke sig ind.

Men det er et helt forkert udgangspunkt. Kan du bevise (i ordets
matematiske forstand), at det er umuligt at misbruge din kode?

Hvis du ikke kan det, hvordan kan du så dokumentere, at det er
umuligt at hacke sig ind?

>Som skrevet andetsteds: Jeg har kendskab til system(er) med tusindvis af
>brugere, hvor jeg ved at noget tilsvarende gør sig gældende for at undgå
>hacking (du får ingen detaljer).

Jeg er ikke enig med de mange trilliader af fluer, der mener, at
bæ er vidunderligt. Hvorfor skulle jeg være mere enig med dine
referencer?

>INGEN IT-REVISION VILLE KUNNE HACKE SIG IND OG DU VILLE HELLER IKKE
>KUNNE DET... Enhver ville ihvertfald få gevaldige problemer...

IT-revisoren er da ligeglad med, om han kan hacke sig ind. Det er
ikke det, revisionen går på. Den handler om risk management, og i
dén verden er uprøvet kode i sig selv nok til at dumpe. Især på et
så vigtigt punkt.

Prøv at spørge KPMG hvilket scenarie, de vil foretrække at møde:
sshd 24*7 eller noget hjemmebryg, der foregiver at være sikkert...

>Hvis jeg tager fejl: Så må du forklare igen, hvordan du vil hacke dig
>ind - du har ikke forklaret noget som helst indtil videre.

Enhver, der arbejder med IT-sikkerhed, véd, at konkrete metoder
er ligemeget. Det er analysearbejdet og teorien, der er vigtig.
Du hænger dig alt for meget i, at du har opfundet en løsning -
selvom du stadig mangler at finde et problem, din løsning passer
til.

Mvh.
   Klaus.

Alex Holst (26-05-2008)
Kommentar
Fra : Alex Holst


Dato : 26-05-08 10:59

Santa Claus <free_presents@greenland> wrote:
> VI SNAKKER UNDER 1000 LINJER! Og det er kode der let kan testes og
> verificeres...

Må vi se koden?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Michael Zedeler (27-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 27-05-08 06:04

Alex Holst wrote:
> Santa Claus <free_presents@greenland> wrote:
>> VI SNAKKER UNDER 1000 LINJER! Og det er kode der let kan testes og
>> verificeres...
>
> Må vi se koden?

Imens vi venter på Martin Jørgensens kode kan jeg sige at jeg har
installeret fail2ban på min egen server. Her er en hurtig demonstration:

while true; do date; ssh rudolf@www.zzz.xxx.yyy; done
tir maj 27 06:54:09 CEST 2008
Permission denied (publickey,gssapi-with-mic).
tir maj 27 06:54:11 CEST 2008
Permission denied (publickey,gssapi-with-mic).
tir maj 27 06:54:12 CEST 2008
Permission denied (publickey,gssapi-with-mic).
tir maj 27 06:54:13 CEST 2008
Permission denied (publickey,gssapi-with-mic).
tir maj 27 06:54:14 CEST 2008
Permission denied (publickey,gssapi-with-mic).
tir maj 27 06:54:16 CEST 2008

Så når man ikke længere. Nu kan man se dette her i fail2bans log:

2008-05-27 00:54:19,934 fail2ban.actions: WARNING [ssh-iptables] Ban
aaa.bbb.ccc.ddd

Og samtidig er der dukket en DROP regel op i iptables, der blot smider
alle pakker fra aaa.bbb.ccc.ddd væk. Jeg nåede ialt 5 forsøg før
fail2ban lukkede for mit ip-nummer.

Der er selvfølgelig en række ulemper ved fail2ban. For det første kan
det muligvis bruges til denial of service. Med lidt snilde kan man
sikkert få det til at lukke af for en lang række ip-adresser. Derudover
lukker det ikke af for samtlige angreb - der kommer nogen igennem, før
det reagerer. Hvis man prøver at åbne rigtig mange forbindelser på samme
tid og båndbredden er til det, kan man sikkert få mange forsøg igennem,
før fail2ban reagerer.

Med ovenstående i mente virker metoden egnet til en mindre server til
semi-privat brug.

Det tog 10 minutter at installere og teste.

Mvh. Michael.

Andreas Plesner Jaco~ (27-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 27-05-08 08:23

On 2008-05-27, Michael Zedeler <michael@zedeler.dk> wrote:
>
> Der er selvfølgelig en række ulemper ved fail2ban. For det første kan
> det muligvis bruges til denial of service. Med lidt snilde kan man
> sikkert få det til at lukke af for en lang række ip-adresser.

Forudsat at du har en ordentlig TCP-implementation burde det være noget
nær umuligt med mindre du ejer noget af netværket imellem serveren og de
pågældende IP-adresser.

--
Andreas

Kent Friis (27-05-2008)
Kommentar
Fra : Kent Friis


Dato : 27-05-08 18:42

Den Tue, 27 May 2008 07:23:22 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2008-05-27, Michael Zedeler <michael@zedeler.dk> wrote:
>>
>> Der er selvfølgelig en række ulemper ved fail2ban. For det første kan
>> det muligvis bruges til denial of service. Med lidt snilde kan man
>> sikkert få det til at lukke af for en lang række ip-adresser.
>
> Forudsat at du har en ordentlig TCP-implementation burde det være noget
> nær umuligt med mindre du ejer noget af netværket imellem serveren og de
> pågældende IP-adresser.

Så som kollegiets trådløse access-point (naturligvis med MAC-filtrering
og disablet SSID... )

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Andreas Plesner Jaco~ (27-05-2008)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 27-05-08 22:05

On 2008-05-27, Kent Friis <nospam@nospam.invalid> wrote:
>>>
>>> Der er selvfølgelig en række ulemper ved fail2ban. For det første kan
>>> det muligvis bruges til denial of service. Med lidt snilde kan man
>>> sikkert få det til at lukke af for en lang række ip-adresser.
>>
>> Forudsat at du har en ordentlig TCP-implementation burde det være noget
>> nær umuligt med mindre du ejer noget af netværket imellem serveren og de
>> pågældende IP-adresser.
>
> Så som kollegiets trådløse access-point (naturligvis med MAC-filtrering
> og disablet SSID... )

Hvis du kører en SSH-server på den infrastruktur er den sikkert
alligevel ikke vigtig.

--
Andreas

Klaus Ellegaard (27-05-2008)
Kommentar
Fra : Klaus Ellegaard


Dato : 27-05-08 08:27

Michael Zedeler <michael@zedeler.dk> writes:

>Der er selvfølgelig en række ulemper ved fail2ban. For det første kan
>det muligvis bruges til denial of service. Med lidt snilde kan man
>sikkert få det til at lukke af for en lang række ip-adresser. Derudover
>lukker det ikke af for samtlige angreb - der kommer nogen igennem, før
>det reagerer. Hvis man prøver at åbne rigtig mange forbindelser på samme
>tid og båndbredden er til det, kan man sikkert få mange forsøg igennem,
>før fail2ban reagerer.

En af fordelene er til gengæld, at den er uafhængig af selve
adgangen. Der er altså ikke nogen risiko for, at man påvirker
selve SSH's funktioner - eller åbner for nye angreb sådan som
"julemandens" koncept gør.

Mvh.
   Klaus.

Kent Friis (26-05-2008)
Kommentar
Fra : Kent Friis


Dato : 26-05-08 17:49

Den Sun, 25 May 2008 23:01:10 +0200 skrev Santa Claus:
> Klaus Ellegaard wrote:
>> Santa Claus <free_presents@greenland> writes:
>>
>
> Ingen ved hvordan jeg laver det og ingen kan se det. Det er umuligt at
> finde ud af hvordan det virker, udefra... Du skal allerede være hacket
> ind, før du kan gennemskue det og alligevel skal du allerede vide hvad
> du skal kigge efter, for at finde det...
>
> Du har ikke rigtigt fattet ideen, kan jeg læse... Det er ellers blevet
> gentaget så mange gange, at det snart føles som hundredvist af gange.
>
> VI SNAKKER IKKE 5 MIO. KODE-LINJER!
>
> INGEN IT-REVISION VILLE KUNNE HACKE SIG IND OG DU VILLE HELLER IKKE
> KUNNE DET... Enhver ville ihvertfald få gevaldige problemer...

Hedder din far tilfældigvis Bjarne?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Michael Zedeler (26-05-2008)
Kommentar
Fra : Michael Zedeler


Dato : 26-05-08 19:14

Kent Friis wrote:
> Den Sun, 25 May 2008 23:01:10 +0200 skrev Santa Claus:
>> Klaus Ellegaard wrote:
>>> Santa Claus <free_presents@greenland> writes:
>>>
>> Ingen ved hvordan jeg laver det og ingen kan se det. Det er umuligt at
>> finde ud af hvordan det virker, udefra... Du skal allerede være hacket
>> ind, før du kan gennemskue det og alligevel skal du allerede vide hvad
>> du skal kigge efter, for at finde det...
>>
>> Du har ikke rigtigt fattet ideen, kan jeg læse... Det er ellers blevet
>> gentaget så mange gange, at det snart føles som hundredvist af gange.
>>
>> VI SNAKKER IKKE 5 MIO. KODE-LINJER!
>>
>> INGEN IT-REVISION VILLE KUNNE HACKE SIG IND OG DU VILLE HELLER IKKE
>> KUNNE DET... Enhver ville ihvertfald få gevaldige problemer...
>
> Hedder din far tilfældigvis Bjarne?

Bjarne F. Jørgensen? Hvem er det?

Mvh. Michael.

Klaus Ellegaard (26-05-2008)
Kommentar
Fra : Klaus Ellegaard


Dato : 26-05-08 19:17

Michael Zedeler <michael@zedeler.dk> writes:

>Bjarne F. Jørgensen? Hvem er det?

Google-groups lidt tilbage på Bjarne Østergård.

Mvh.
   Klaus.

Anders Wegge Jakobse~ (26-05-2008)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 26-05-08 19:29

Michael Zedeler <michael@zedeler.dk> writes:

> Kent Friis wrote:
>> Den Sun, 25 May 2008 23:01:10 +0200 skrev Santa Claus:

>>> INGEN IT-REVISION VILLE KUNNE HACKE SIG IND OG DU VILLE HELLER IKKE
>>> KUNNE DET... Enhver ville ihvertfald få gevaldige problemer...

>> Hedder din far tilfældigvis Bjarne?

> Bjarne F. Jørgensen? Hvem er det?

Bjarne Østergaard. Ham med PC-Finder.

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

Santa Claus (23-05-2008)
Kommentar
Fra : Santa Claus


Dato : 23-05-08 20:34

Klaus Ellegaard wrote:
> Santa Claus <free_presents@greenland> writes:
>
>>> Det er din ide med at kontrollere SSH-serveren externt fra, der giver
>>> kuldegysninger....
>
>> Prøv forklar hvad problemet er og hvordan du vil hacke/udnytte det, hvis
>> du mener det er bedre at køre sshd 24/7/365 og bryde med princippet om
>> at man ikke skal lade unødvendige services stå åbne hele tiden (sshd der
>> står åben og er unødvendig i 99% af tiden er *IKKE GOD SIKKERHED*, IMO)!
>
> Der er tusinder af dygtige folk, der konstant er over sshd's kode,
> og især den lille klat af den, der er priviligeret. Det er nok ikke
> helt ved siden af, at der er lavet 100.000 code-reviews på den
> efterhånden.

Hvor kommer det tal fra?

> Hvor mange eksterne code reviews er der lavet på din kode, der styrer
> din sshd? Vil du sætte alle dine penge og personlige data på højkant
> i et sådant review?
>
> Hvis du ikke vil det, er det så mere eller mindre risikabelt at have
> en bunke ikke-reviewed kode kørende 24/7 end noget, der er reviewed
> 100.000 gange?

Uanset hvad jeg har tænkt mig, så kommer det hverken til at erstatte
eller forringe sshd, for hvilken koden forbliver uændret.

> Security by obscurity har ikke nogen god track record. Man kan starte
> med at hacke din webserver - og så har man tilføjet sshd som vektor
> igen-igen. Apache i udgaver med mange ekstrafeatures har ikke den
> bedste track record, så reelt er man ude i, at du sikrer noget meget
> sikkert ved hjælp af noget relativt usikkert.

FAT DET NU! JEG KØRER IKKE APACHE! Læs dog tråden!!!

> Det bliver den samlede sikkerhed ikke bedre af. Men den bliver heller
> ikke værre, end hvis du bare kørte sshd 24/7. Med andre ord: du har i
> bedste fald ikke opnået noget. I værste fald er der fejl i den ekstra
> kode, der styrer sshd samt al koden i Apache med en del aktiverede
> moduler, og som derfor i sig selv er en vektor. Hvilket i praksis gør
> din løsning meget mere risikabel end sshd alene, fordi "noget" i din
> del af koden har priviligeret adgang nok til at starte sshd som root.

FAT DET NU! JEG KØRER IKKE APACHE! Læs dog tråden!!!

> Selv hvis det "bare" er en "sudo /etc/init.d/ssh start", vil du have
> tilføjet følgende vektorer:
>
> * meget af koden i Apache med moduler
> * evt. PHP hvis din skjulte side bruger det
> * det meste af koden i sudo og følger af evt. fejl i sudoers
> * init-scriptet ssh (som normalt ikke kan tilgås udefra)
> * dit eget system til at binde websiden og resten sammen

FAT DET NU! JEG KØRER IKKE APACHE! Læs dog tråden!!!

> Du har derfor mange-doblet antallet af kodelinjer, der kan tjene som
> vektor i et angreb mod din maskine. I forhold til bare at køre sshd
> 24/7.

FAT DET NU! JEG KØRER IKKE APACHE! Læs dog tråden!!!

>> Og man kommer altså ofte ud for at stå udenfor og gerne vil have adgang
>> til serveren, når det virkeligt er man står og mangler noget!
>
> Det er derfor, man har sin nøgle på sig. Det er i praksis det mest
> sikre at have sshd kørende med nøgler som eneste adgangsmetode...

Der bliver ikke ændret på at password er måden man kommer ind på, selvom
nøgle er det bedste så kræver det at man går rundt med den hele tiden og
der vinder password i komfort + min løsning der starter og stopper sshd
og som du ikke kan hacke (for 1000. gang: NEJ, JEG KØRER IKKE APACHE OG
DU KAN IKKE HACKE MIN WEBSERVER FORDI JEG HAR IKKE NOGEN - LÆS TRÅDEN -
DET ER DET EVINDELIGE SVAR DER KONSTANT ER BLEVET GENTAGET...).

> den er rimelig immun over for brute force, som der ellers er nok af
> derude på username/password, og opbevarer man nøglen fornuftigt, er
> det en "ren" løsning med 100.000 code reviews bag sig og ingen ekstra
> kode kørende som priviligeret bruger.
>
> Samtidig har man den fordel, at når der endelig sker noget grimt med
> ssh, så bliver det opdaget hurtigt, og der bliver larmet rigtig meget
> om det alle steder. Se bare den seneste uges Debian-ups.

JEG LAVER INTET DER FORRINGER SSHD!

** Posted from http://www.teranews.com **

Christian Laursen (23-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 23-05-08 21:38

Santa Claus <free_presents@greenland> writes:

> Der bliver ikke ændret på at password er måden man kommer ind på,
> selvom nøgle er det bedste så kræver det at man går rundt med den hele
> tiden og der vinder password i komfort + min løsning der starter og
> stopper sshd og som du ikke kan hacke

Siger du at du logger ind fra maskiner, du ikke har grundlag for at
vide om du kan stole på?

Ellers er der vist næppe nogen grund til at tillade login med
passwords.

--
Christian Laursen

Santa Claus (25-05-2008)
Kommentar
Fra : Santa Claus


Dato : 25-05-08 22:13

Christian Laursen wrote:
> Santa Claus <free_presents@greenland> writes:
>
>> Der bliver ikke ændret på at password er måden man kommer ind på,
>> selvom nøgle er det bedste så kræver det at man går rundt med den hele
>> tiden og der vinder password i komfort + min løsning der starter og
>> stopper sshd og som du ikke kan hacke
>
> Siger du at du logger ind fra maskiner, du ikke har grundlag for at
> vide om du kan stole på?

Folk bevæger sig vidt omkring og man kan befinde sig mange steder og
pludseligt mangle noget fra sin server.

> Ellers er der vist næppe nogen grund til at tillade login med
> passwords.

Lad mig spørge dig om noget ufatteligt simpelt og så kan det være du
bedre forstår det, for første gang i hele tråden (andre har også været
utroligt langsomme om at fatte det):

Man har brug for at logge ind *HVOR SOM HELST VHA. PASSWORD*... Man kan
potentielt i teorien aldrig vide sig sikker for om ens data bliver
opfanget... Hvad er bedst:


1) sshd 24/7/365 som dig og flere fjolser i gruppen påstår. Password
bliver opfanget - hackeren har adgang 24/7/365 i utroligt lang tid og er
han lidt dygtig/professionel opdager du ham ikke fordi han skjuler sig
selv og laver bl.a. noget automatisk log-file tampering, få dage efter
første gang han kom ind.

2) sshd som kun utroligt kortvarigt er åbent - som måske selv afsluttes
efter 60 minutter - og som selvom alle informationer er opfanget ikke
lader dig komme ind igen 2 gange i træk, fordi du ikke ved hvad jeg ved
(og det er mig der har programmeret det)...


Rigtigt svar på quizzen: Metode 2 er bedst!!!

Forklaring: Hackeren har muligvist opfanget noget men kan ikke bruge det
til noget som helst... Du ville heller ikke kunne bruge det du opfangede
til noget som helst, som jeg laver det.


** Posted from http://www.teranews.com **

Thorbjørn Ravn Ander~ (25-05-2008)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 25-05-08 22:29

Santa Claus skrev den 25-05-2008 23:12:

> Man har brug for at logge ind *HVOR SOM HELST VHA. PASSWORD*... Man kan

Nogen speciel grund til du ikke har lavet en mekanisme der giver dig et
engangspassword, hvis du endelig VIL bruge adgangskoder?
--
Thorbjørn Ravn Andersen "... plus... Tubular Bells!"

Christian Laursen (26-05-2008)
Kommentar
Fra : Christian Laursen


Dato : 26-05-08 17:54

Santa Claus <free_presents@greenland> writes:

> Man har brug for at logge ind *HVOR SOM HELST VHA. PASSWORD*... Man
> kan potentielt i teorien aldrig vide sig sikker for om ens data bliver
> opfanget...

Der er jeg så uenig.

--
Christian Laursen

Michael Rasmussen (20-05-2008)
Kommentar
Fra : Michael Rasmussen


Dato : 20-05-08 09:17

On Tue, 20 May 2008 08:47:46 +0200, Santa Claus
<free_presents@greenland> wrote:

Hej Claus.

Nu har jeg fulgt denne tråd på sidelinien gennem nogen tid. Og jeg er
dybt imponeret over dine indlæg, der vidner om en klog og vidende
mand med høj empati og stor social forståelse.

Du er bare min helt - Jeg spår dig en lang og glorværdig karriere her
i grupperne. Vennerne vil flokkes om dig...

Vi lader den lige stå een gang til:

>> Hvorfor begyndte du så at kalde folk fjolser?
>
>Man skal kalde folk hvad de er og være sand overfor sig selv. Der er
>ihvertfald er par fjolser der i tråden har skrevet at jeg ikke havde
>forstand på sikkerhed og et vist antal fjolser der ville fraråde mig at
>starte/stoppe sshd for at minimere tidspunktet hvor jeg kunne blive
>hacket på. Fjolserne syntes tilsyneladende at det var bedre at køre sshd
>24/7/365, hvor jeg hele tiden har betragtet det som unødvendigt og jeg
>bryder mig ikke om det. Fjolserne kunne ikke forstå præmissen.
>
>Men nu er fjolsernes argumenter fuldstændigt forsvundet (der er nok
>nogen der endeligt har fattet præmissen), fordi de kan ikke forklare
>hvorfor det skulle være så slemt kun at lade sshd stå åben i meget kort
>tid, når man nu kun skal bruge det meget kortvarigt...

Så kan de lære det, kan de

<mlr>

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste