[MASOCH-L] SSh Proxy / Login server / proxy shell
Nelson Murilo
nelson at pangeia.com.br
Mon Jun 11 21:48:49 -03 2007
On Mon, Jun 11, 2007 at 06:17:50PM -0300, Lao DanTong wrote:
> On Mon, 11 Jun 2007, Lucio de Aquino Marinho wrote:
> > Considere a seguinte situação : Eu tenho um servidor Unix rodando um
> > sistema em cobol , eu preciso "disponibilizar " esse acesso para
> > clientes externos que provavelmente devem acessar via ssh .
>
> ssh já é sozinho bastante seguro, no entanto algumas coisas podem ser
> melhoradas, como usar autenticação por chave pública (RSA ou D-H) em vez
> de senhas. eu só uso chave pública menos por segurança do que por minha
> incapacidade de decorar essas malditas senhas. senhas são sempre
> vulneráveis a ataques de dicionário e estou cansado de ver sites invadidos
> porque tinham uma conta 'teste' com senha 'teste'.
Permita-me discordar, dependendo do cliente o uso de chaves publicas
pode ate facilitar um ataque, ja que um malware remotamente controlado (ou
construido de forma direcionada) pode acessar o site remoto sem nem ter que
usar um keylogger pra pegar a senha. Por outro lado o uso de senhas nao
resiste a um keylogger, como nao foi dito sobre a criticidade das informacoes
nao da pra prever se alguem teria interesse nisso ou nao. De qualquer forma
o risco existe independente do uso ou nao de senhas.
Considerando o acesso ao servidor SSH o ideal seria roda-lo em uma jail ou
chroot e com as devidas separacao de privilegios, coisas ja previstas no
servico e facilmente configuraveis.
Outra coisa, o usuario precisa rodar um shell pra que?
Nao pode cair diramente na aplicacao?
Se quiser mais perguntas estamos por aqui :)
<a href="http://naopod.com.br">./nelson -murilo</a>
More information about the masoch-l
mailing list