[MASOCH-L] SSh Proxy / Login server / proxy shell

Rafael Possamai rafaelpossa at gmail.com
Mon Jun 11 21:54:09 -03 2007 

Essa idéia da jail é uma boa, você roda a aplicação dentro dela, e nela vai 
ter só o suficiente pra rodar isso com as devidas permissões.

Ou seja, se dps de vc ter implementado várias opções de segurança e alguém 
supostamente conseguir entrar, não vai ter muito o que fazer, a não ser que 
seja do além e consiga furar o sistema... Mas aí entarmos na quele esquema 
de 'não existir 100% de segurança'.




----- Original Message ----- 
From: "Nelson Murilo" <nelson at pangeia.com.br>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Monday, June 11, 2007 9:48 PM
Subject: Re: [MASOCH-L] SSh Proxy / Login server / proxy shell


On Mon, Jun 11, 2007 at 06:17:50PM -0300, Lao DanTong wrote:
> On Mon, 11 Jun 2007, Lucio de Aquino Marinho wrote:
> >   Considere a seguinte situação :  Eu tenho um servidor Unix rodando um
> > sistema em cobol , eu preciso "disponibilizar " esse acesso para
> > clientes externos que provavelmente devem acessar via ssh .
>
> ssh já é sozinho bastante seguro, no entanto algumas coisas podem ser
> melhoradas, como usar autenticação por chave pública (RSA ou D-H) em vez
> de senhas. eu só uso chave pública menos por segurança do que por minha
> incapacidade de decorar essas malditas senhas. senhas são sempre
> vulneráveis a ataques de dicionário e estou cansado de ver sites invadidos
> porque tinham uma conta 'teste' com senha 'teste'.

Permita-me discordar, dependendo do cliente o uso de chaves publicas
pode ate facilitar um ataque, ja que um malware remotamente controlado (ou
construido de forma direcionada) pode acessar o site remoto sem nem ter que
usar um keylogger pra pegar a senha. Por outro lado o uso de senhas nao
resiste a um keylogger, como nao foi dito sobre a criticidade das 
informacoes
nao da pra prever se alguem teria interesse nisso ou nao. De qualquer forma
o risco existe independente do uso ou nao de senhas.

Considerando o acesso ao servidor SSH o ideal seria roda-lo em uma jail ou
chroot e com as devidas separacao de privilegios, coisas ja previstas no
servico e facilmente configuraveis.

Outra coisa, o usuario precisa rodar um shell pra que?
Nao pode cair diramente na aplicacao?

Se quiser mais perguntas estamos por aqui :)

<a href="http://naopod.com.br">./nelson -murilo</a>



__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list