Je populaerer Linux wird, desto mehr wird man sich damit beschaeftigen und desto mehr Sicherheitluaecken und Angriffsflaeachen duerften gefunden werden. Das hilft zwar, die Luecken dann auch zu schliessen, kratzt aber auch am Image von Linux. Gleichzeitig wird Windows sicherstechnisch aufholen...
Naja aber das Problem ist schon ziemlich schwerwiegend. Denn wenn jemand in der Lage sein sollte deine Festplatte auszulesen, bringt dir ein upgedatetes ssh keine wirkliche Besserung, da die "known hosts" trotzdem - auf welche Art auch immer - gespeichert werden. Und du hast bestimmt nicht für alles n anderes Passwort... Wenn die "known hosts" nicht gespeichert werden, besteht die Gefahr, dass ein kompromittierter Server nicht erkannt wird.
Klares Nein. Wenn ein Wurm an die Liste von Rechnern kommt hat er noch nichts gewonnen. Der Wurm braucht dann auch noch ein Passwort. Ein Sicherheitsrisiko: Ja, aber kein ernstes.
Der Wurm könnte irgendwelche gespeicherten Passwörter ausm Homeverzeichnis (E-Mail, WWW,...) auslesen oder aus /etc/shadow (ok, eher unwahrscheinlich). Für jemand, der nirgendwo Passwörter speichert bzw. für alles n anderes Passwort nimmt kein Risiko. Das ist halt das Problem, dass Dateien unter Linux ohne Sicherheitserweiterungen wie selinux ziemlich ungeschützt sind. Aber solche Erweiterungen bedeuten _noch_ viel höheren Konfig.aufwand...
Das ist kein Linux-only problem, sondern ein SSH Problem. Ich finde es ungeschickt, wieoft Betriebssystem- und Applikations-Probleme vermischt werden. Beim InternetExplorer kann man das ja noch verstehen, da er in das BS integriert ist und damit quasi ein Teil davon ist. Aber das ist bei SSH definitiv nicht so, genauso wie Apache- oder Mozilla-Bugs keine Linux Bugs sind.
Dann besteht ja keine Gefahr. Du behauptest Doch immer, dass Linux sich nicht weiter ausbreiten wird und im Gegenteil zurückfallen wird. Also kannst Du dir dei Posting auch sparen.
Ich finde es ganz sinnig, dass man selbst die kleinstmögliche und noch so unwahrscheinlichste Schwachstelle abdichtet bzw. härtet. Wenn solch ein Vorgang bereits eine Schlagzeile Wert ist, zeigt das zum einem wie Ernst man die Sicherheit nimmt und zum anderem, dass es anscheinend einen Unterbedarf an echten Sicherheitsproblemen gibt über die man berichten könnte
es geht darum das hosts die in der known_hosts sind oft das gleiche password wie der lokale benutzer benutzen. Wenn dein pw also kompromitiert wurde kann dieser wurm auch auf alle anderen rechner auf die du normalerweise zugreifst auch kompromitieren. steht aber auch alles da ! einfach richtig lesen
Ich habe das sehr wohl richtig gelesen, halte den Ansatz aber für völligen Unsinn. Wer auf verschiedenen Rechnern das gleiche PWD setzt, hat pech gehabt. Soetwas macht man nicht. Das ist aber kein Fehler von SSH.
Der Text ist einfach totaler Unsinn. Sicherlich wären die Hosts als Hash noch sicherer, aber es gibt dann immernoch Zweihundertausend andere Wege die üblichen Hosts zu erhalten.
Nimm nur mal DNS Caches, Bash History und co. Also wer da auf die Hosts Liste von SSH angewiesen ist...
so wie ich das verstanden hab, gibt das höchstens einen ganz kleinen Teil eines Wurmes.. der Rest fehlt noch. Aber daraus einen kompletten Wurm basteln? tztz..
"Wer auf verschiedenen Rechnern das gleiche PWD setzt, hat pech gehabt. Soetwas macht man nicht. Das ist aber kein Fehler von SSH."
Lieber Student,
anbei finden Sie die Liste ihrer Passwörter für die einzelnen Poolrechner unserer Universität - aus Sicherheitsgründen verzichten wir auf ein zentrales Loginmanagement. Wir bitten Sie, diese Liste nicht auszudrucken, da sie sonst 30 Seiten Papier verbraucht.
Erstmal muss man sich zugang zum Rechner verschaffen und das wird bei nem richtig gut geschütztem Rechner über SSH nicht so leicht...
z.B. root abschalten, nur spezielle Gruppen/User den Zugang erlauben, normale Anmeldung (PWD + User) abschalten, u.a. Anmeldefunktionen, dann mit nem 4096Bit Schlüssel und Alphanummerischem + Sonderzeichen PWD schützen.
Dann müsste man: 1. Benutzer wissen 2. Gruppe wissen 3. Schlüssel haben 4. Passwort für den Schlüssel 5. ggf. Passwort für Root
Ich hab mein System so geschützt also SSH, habe schon xxxxx Brute Force Attacken in der Log gezählt, aber nicht mal der Benutzername wurde bisher herausgefunden.
Also wenn man SSH richtig einstellt ist die Wahrscheinlichkeit klein das einer reinkommt.
Btw. Eine verschlüsselte known_hosts bringt ja auch nicht wirklich viel, da zieht sich halt einer die File und geht mit John The Ripper dahinter bis er mit Brute Force das ganze geknackt hat...
Wenn jemand eine SSH Version einsetzt, welche eben eine Luecke hat, aber ein Patch existiert ist er selbst schuld.
Wenn jemand schwache Passwoerter benutzt, die durch Brute-Force zu knacken sind, ist er selbst schuld.
Wenn jemand unvorsichtig mit seinen SSH Schluessen umgeht, selbst schuld.
Die hier genannten Probleme basieren _alle_ auf pebcak und haben nichts mit Linux zu tun!
Nun denn...
Außerdem postet der Wurm bestimmt bei Heise....
theile
Full ACK!!!
husky
Meine Apache Logs enthalten auch viele Addressen, deswegen ist eine Software die daraus IPs rausucht doch kein Apache Wurm
Der Text ist einfach totaler Unsinn. Sicherlich wären die Hosts als Hash noch sicherer, aber es gibt dann immernoch Zweihundertausend andere Wege die üblichen Hosts zu erhalten.
Nimm nur mal DNS Caches, Bash History und co.
Also wer da auf die Hosts Liste von SSH angewiesen ist...
Lieber Student,
anbei finden Sie die Liste ihrer Passwörter für die einzelnen Poolrechner unserer Universität - aus Sicherheitsgründen verzichten wir auf ein zentrales Loginmanagement. Wir bitten Sie, diese Liste nicht auszudrucken, da sie sonst 30 Seiten Papier verbraucht.
MfG
Das Dekanat
z.B. root abschalten, nur spezielle Gruppen/User den Zugang erlauben, normale Anmeldung (PWD + User) abschalten, u.a. Anmeldefunktionen, dann mit nem 4096Bit Schlüssel und Alphanummerischem + Sonderzeichen PWD schützen.
Dann müsste man:
1. Benutzer wissen
2. Gruppe wissen
3. Schlüssel haben
4. Passwort für den Schlüssel
5. ggf. Passwort für Root
Ich hab mein System so geschützt also SSH, habe schon xxxxx Brute Force Attacken in der Log gezählt, aber nicht mal der Benutzername wurde bisher herausgefunden.
Also wenn man SSH richtig einstellt ist die Wahrscheinlichkeit klein das einer reinkommt.
Btw. Eine verschlüsselte known_hosts bringt ja auch nicht wirklich viel, da zieht sich halt einer die File und geht mit John The Ripper dahinter bis er mit Brute Force das ganze geknackt hat...