Kommentarer till /sbin/nologin http://securit.se En blogg om IT-säkerhet och relaterade ämnen för dem som arbetar inom IT Wed, 08 Feb 2012 12:06:29 +0000 hourly 1 http://wordpress.org/?v=3.3.2 Kommentarer till Konfigurera SSH för ökad säkerhet av Johan Ryberg http://securit.se/2012/01/english-configure-ssh-high-security/#comment-7163 Johan Ryberg Wed, 08 Feb 2012 12:06:29 +0000 http://securit.se/?p=1591#comment-7163 Yepp, inte helt magiskt men manuellt. Jag har skrivit om det tidigare i detta inlägget: <a href="http://securit.se/2011/01/anvand-ssh-tillsammans-med-krypterad-hemkatalog-ubuntu/" rel="nofollow">http://securit.se/2011/01/anvand-ssh-tillsammans-med-krypterad-hemkatalog-ubuntu/</a> Yepp, inte helt magiskt men manuellt.

Jag har skrivit om det tidigare i detta inlägget: http://securit.se/2011/01/anvand-ssh-tillsammans-med-krypterad-hemkatalog-ubuntu/

]]> Kommentarer till Konfigurera SSH för ökad säkerhet av Snobben http://securit.se/2012/01/english-configure-ssh-high-security/#comment-7155 Snobben Wed, 08 Feb 2012 11:26:03 +0000 http://securit.se/?p=1591#comment-7155 Toppenbra genomgång. Det finns ett script med i ssh-paketet som heter ssh-copy-id som för över den publika nyckeln och fixar rättigheterna på mapp och fil. Problemet är att den (liksom din genomgång) använder ~/.ssh/authorizedkeys som "databas" över publika nycklar, vilket ställer till problem om användaren krypterar sin hemkatalog (det går ju inte läsa ~/.ssh/authorizedkeys förrän den är avkrypterad och den avkrypteras inte förrän användaren loggat in, vilket kräver ~/.ssh/authorizedkeys). Jag har läst att det ska gå att fixa detta moment 22 genom att ändra i /etc/ssh/sshd_config, men en sådan ändring ignorerar ju skriptet ssh-copy-id typiskt nog. Vet du hur man får det att fungera magiskt själv? Toppenbra genomgång.

Det finns ett script med i ssh-paketet som heter ssh-copy-id som för över den publika nyckeln och fixar rättigheterna på mapp och fil. Problemet är att den (liksom din genomgång) använder ~/.ssh/authorizedkeys som “databas” över publika nycklar, vilket ställer till problem om användaren krypterar sin hemkatalog (det går ju inte läsa ~/.ssh/authorizedkeys förrän den är avkrypterad och den avkrypteras inte förrän användaren loggat in, vilket kräver ~/.ssh/authorizedkeys).

Jag har läst att det ska gå att fixa detta moment 22 genom att ändra i /etc/ssh/sshd_config, men en sådan ändring ignorerar ju skriptet ssh-copy-id typiskt nog. Vet du hur man får det att fungera magiskt själv?

]]> Kommentarer till Konfigurera SSH för ökad säkerhet av Johan Ryberg http://securit.se/2012/01/english-configure-ssh-high-security/#comment-7133 Johan Ryberg Wed, 08 Feb 2012 09:32:13 +0000 http://securit.se/?p=1591#comment-7133 Tack för synpunkterna. Den svenska artikeln är nu uppdaterad Tack för synpunkterna. Den svenska artikeln är nu uppdaterad

]]> Kommentarer till Konfigurera SSH för ökad säkerhet av Daniel Holm http://securit.se/2012/01/english-configure-ssh-high-security/#comment-7058 Daniel Holm Tue, 07 Feb 2012 19:05:13 +0000 http://securit.se/?p=1591#comment-7058 Mycket bra tips. Dock håller jag med Andreas angående porten. Mycket bra tips. Dock håller jag med Andreas angående porten.

]]> Kommentarer till Konfigurera SSH för ökad säkerhet av Johan Ryberg http://securit.se/2012/01/english-configure-ssh-high-security/#comment-6910 Johan Ryberg Mon, 06 Feb 2012 12:53:49 +0000 http://securit.se/?p=1591#comment-6910 Du har bra synpunkter som vanligt =) I min omarbetade engelska version så tar jag knappt upp byte av port eftersom det blir någon form av "säkerhet via oordning" som inte ger något i praktiken förutom försvårar spridningen om tjänsten råkar ut för något 0-day och i värsta fall i kombination med en mask som gör att man klarar sig för att man har tur. Jag skall ändra lite i min formulering. // Johan Du har bra synpunkter som vanligt =)

I min omarbetade engelska version så tar jag knappt upp byte av port eftersom det blir någon form av “säkerhet via oordning” som inte ger något i praktiken förutom försvårar spridningen om tjänsten råkar ut för något 0-day och i värsta fall i kombination med en mask som gör att man klarar sig för att man har tur. Jag skall ändra lite i min formulering.

// Johan

]]> Kommentarer till Konfigurera SSH för ökad säkerhet av Andreas http://securit.se/2012/01/english-configure-ssh-high-security/#comment-6902 Andreas Mon, 06 Feb 2012 12:31:14 +0000 http://securit.se/?p=1591#comment-6902 Njae, att köra sin sshd på säg 10022 skulle jag snarare se som en försvagad säkerhet, då man helt plötsligt öppnar sig för scenariot att man ansluter till en demon startade utav en användare. Nej, ska man lägga sin sshd på en alternativ port så behåller jag den gärna på en privilegierad port, säg 1022. Vad gäller root-login så tycker jag det om inte annat kan var rimligt för en del backupjob, även om det strikt sett även kan gå att lösa med sudo. Hursom tycker jag då vara en rimlig tradeoff där är att sätta PermitRootLogin till forced-commands-only. Vad gäller att veta att man ansluter till rätt maskin så är ju annars DNSSEC och SSHFP en fin kombination. Njae, att köra sin sshd på säg 10022 skulle jag snarare se som en försvagad säkerhet, då man helt plötsligt öppnar sig för scenariot att man ansluter till en demon startade utav en användare. Nej, ska man lägga sin sshd på en alternativ port så behåller jag den gärna på en privilegierad port, säg 1022.

Vad gäller root-login så tycker jag det om inte annat kan var rimligt för en del backupjob, även om det strikt sett även kan gå att lösa med sudo. Hursom tycker jag då vara en rimlig tradeoff där är att sätta PermitRootLogin till forced-commands-only.

Vad gäller att veta att man ansluter till rätt maskin så är ju annars DNSSEC och SSHFP en fin kombination.

]]> Kommentarer till Wi-Fi Protected Setup (WPS) PIN kan bli knäckt med hjälp av brute force (WPA/WPA2-routrar) av Andreas Olsson http://securit.se/2012/01/wi-fi-protected-setup-wps-pin-kan-bli-knacka-med-hjalp-av-brute-force-wpawpa2-routrar/#comment-4332 Andreas Olsson Sun, 01 Jan 2012 20:00:21 +0000 http://securit.se/?p=1546#comment-4332 Ahh, hade jag helt lyckats missa. Tack för pekaren på reaver-wps. Nu gäller det bara att hitta en accesspunkt jag med gott samvete kan testa emot... Ahh, hade jag helt lyckats missa. Tack för pekaren på reaver-wps.

Nu gäller det bara att hitta en accesspunkt jag med gott samvete kan testa emot…

]]> Kommentarer till Varning för “Vilda webben” – Okrypterade lösenord i databasen av Johan Ryberg http://securit.se/2011/10/varning-for-vilda-webben-okrypterade-losenord-databasen/#comment-1906 Johan Ryberg Fri, 21 Oct 2011 07:32:34 +0000 http://securit.se/?p=1442#comment-1906 Nej, säker kan jag inte vara och det kan mycket möjligt vara så att lösenorden i sig är krypterade i databasen men att webbapplikationen har nyckel. Det är dock inte mycket till tröst om någon tar över servern för då har dem högst troligt både nyckel och databasen. Man skall spara "lösenorden" på ett icke reversibelt sätt, aldrig så att dem går att få tillbaka med enkla medel i klartext. Jag har tydligen trampat några på tårna vilket är roligt, hoppas att du nu kan göra om och göra rätt. -- Johan Nej, säker kan jag inte vara och det kan mycket möjligt vara så att lösenorden i sig är krypterade i databasen men att webbapplikationen har nyckel. Det är dock inte mycket till tröst om någon tar över servern för då har dem högst troligt både nyckel och databasen. Man skall spara “lösenorden” på ett icke reversibelt sätt, aldrig så att dem går att få tillbaka med enkla medel i klartext. Jag har tydligen trampat några på tårna vilket är roligt, hoppas att du nu kan göra om och göra rätt.

— Johan

]]> Kommentarer till Varning för “Vilda webben” – Okrypterade lösenord i databasen av Njae http://securit.se/2011/10/varning-for-vilda-webben-okrypterade-losenord-databasen/#comment-1901 Njae Thu, 20 Oct 2011 21:44:22 +0000 http://securit.se/?p=1442#comment-1901 Är du verkligen säker på det du påstår om okrypterade lösenord eller påstår du något som du bara tror? Det finns ju t.ex. nåt som heter symmetrisk kryptering. Läs på vetja! Är du verkligen säker på det du påstår om okrypterade lösenord eller påstår du något som du bara tror? Det finns ju t.ex. nåt som heter symmetrisk kryptering. Läs på vetja!

]]> Kommentarer till Varning för “Vilda webben” – Okrypterade lösenord i databasen av Johan Ryberg http://securit.se/2011/10/varning-for-vilda-webben-okrypterade-losenord-databasen/#comment-1896 Johan Ryberg Thu, 20 Oct 2011 14:01:25 +0000 http://securit.se/?p=1442#comment-1896 Det är bra att du är duktig som har unika lösenord =) Problemet är att alla inte är lika duktiga som dig. Lösenordshantering i webbapplikationer är grundkurs men alla har inte ens förstått det mest grundläggande vilket är minst sagt tragiskt. -- Johan Det är bra att du är duktig som har unika lösenord =) Problemet är att alla inte är lika duktiga som dig. Lösenordshantering i webbapplikationer är grundkurs men alla har inte ens förstått det mest grundläggande vilket är minst sagt tragiskt.

— Johan

]]>