[MASOCH-L] SSh Proxy / Login server / proxy shell

Nelson Murilo nelson at pangeia.com.br
Mon Jun 11 21:48:49 BRT 2007


On Mon, Jun 11, 2007 at 06:17:50PM -0300, Lao DanTong wrote:
> On Mon, 11 Jun 2007, Lucio de Aquino Marinho wrote:
> >   Considere a seguinte situação :  Eu tenho um servidor Unix rodando um
> > sistema em cobol , eu preciso "disponibilizar " esse acesso para
> > clientes externos que provavelmente devem acessar via ssh .
> 
> ssh já é sozinho bastante seguro, no entanto algumas coisas podem ser 
> melhoradas, como usar autenticação por chave pública (RSA ou D-H) em vez 
> de senhas. eu só uso chave pública menos por segurança do que por minha 
> incapacidade de decorar essas malditas senhas. senhas são sempre 
> vulneráveis a ataques de dicionário e estou cansado de ver sites invadidos 
> porque tinham uma conta 'teste' com senha 'teste'.

Permita-me discordar, dependendo do cliente o uso de chaves publicas
pode ate facilitar um ataque, ja que um malware remotamente controlado (ou 
construido de forma direcionada) pode acessar o site remoto sem nem ter que 
usar um keylogger pra pegar a senha. Por outro lado o uso de senhas nao
resiste a um keylogger, como nao foi dito sobre a criticidade das informacoes
nao da pra prever se alguem teria interesse nisso ou nao. De qualquer forma
o risco existe independente do uso ou nao de senhas. 

Considerando o acesso ao servidor SSH o ideal seria roda-lo em uma jail ou
chroot e com as devidas separacao de privilegios, coisas ja previstas no
servico e facilmente configuraveis. 

Outra coisa, o usuario precisa rodar um shell pra que? 
Nao pode cair diramente na aplicacao? 

Se quiser mais perguntas estamos por aqui :)

<a href="http://naopod.com.br">./nelson -murilo</a> 





More information about the masoch-l mailing list