Jump to content
  • 1
Jensen

Безопасность SSH консоли

Question

Когда мы включаем SFTP сервер и предоставляем к нему доступ из Интернета, также включается доступ из интернета к SSH консоли.
Получается, если мы хотим сделать обмен файлами по SFTP, мы также должны выставить в Интернет администраторскую консоль SSH, даже если в этом нет никакой необходимости.
Что совершенно не логично и представляет собой дыру в безопасности.

Хорошо бы это исправить, т.е при включении доступа из Интернета к SFTP, была возможность не выставлять в Интернет администраторскую консоль SSH.

Share this post


Link to post
Share on other sites

24 answers to this question

Recommended Posts

  • 1
17 минут назад, Le ecureuil сказал:

У нас доступы для cli и для sftp разделены. Можно дать что-то одно, оба или ничего каждому из пользователей.

Не, у админа же не возможно cli отобрать?!

А если так то включая внешний доступ к sftp, включаем внешний доступ к cli под админом 

Share this post


Link to post
Share on other sites
  • 1
В 02.06.2020 в 11:52, r13 сказал:

Не, у админа же не возможно cli отобрать?!

А если так то включая внешний доступ к sftp, включаем внешний доступ к cli под админом 

Все верно, именно об этой проблеме я и написал.
Интересно, что эта тема даже получила минус. Видимо кто-то негативно относится к устранению дыр в безопасности.

Share this post


Link to post
Share on other sites
  • 0

Скорее надо за вот это голосовать:

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Mamay сказал:

SFTP = SSH File Transfer Protocol.

SSH это криптографический сетевой протокол, у которого много применений. И он вовсе не обязывает, что в нагрузку с передачей файлов должна идти консоль администратора.

Share this post


Link to post
Share on other sites
  • 0

У нас доступы для cli и для sftp разделены. Можно дать что-то одно, оба или ничего каждому из пользователей.

Share this post


Link to post
Share on other sites
  • 0
В 02.06.2020 в 11:52, r13 сказал:

Не, у админа же не возможно cli отобрать?!

А если так то включая внешний доступ к sftp, включаем внешний доступ к cli под админом 

Админу сгенерировать длиннющий пароль, записать на бумажку и в сейф. Пользователя создать с замысловатым логином и паролем и наделить правами как у админа...пользоваться им только в последствии

Share this post


Link to post
Share on other sites
  • 0

@MDP так и делается, да, но сама мысль, что имеется возможность из внешней сети кому угодно пытаться залогиниться под встроенной УЗ напрягает, особенно когда УЗ нельзя переименовать или забрать права. Если помните, были точно такие же пожелания, когда SSTP реализовали в первый раз - там обязательным условием работы SSTP было выставление веб-морды наружу. Спасибо разработчикам, что убрали это обязательное требование и теперь SSTP можно включать и не выставлять наружу веб-морду.

Полагаю, если грамотно и аргументированно донести позицию, что сама возможность попыток аутентифицироваться из внешней сети является неприемлемой с точки зрения информационной безопасности, то в течение какого-то времени это может быть реализовано.

Share this post


Link to post
Share on other sites
  • 0
On 6/3/2020 at 3:52 PM, Jensen said:

Все верно, именно об этой проблеме я и написал.
Интересно, что эта тема даже получила минус. Видимо кто-то негативно относится к устранению дыр в безопасности.

Это не дыра. SFTP работает через тот же порт 22, что и SSH, поскольку реализован внутри SSH-сервера. Физически невозможно открыть наружу порт SFTP, не открыв открыв наружу порт SSH, поскольку это один и тот же порт и один и тот же sshd, слушающий порт 22.

В принципе назвать SSH "дырой в безопасности" - это очень сильно... даже не знаю смеяться или плакать над таким надо.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
1 час назад, JIABP сказал:

Полагаю, если грамотно и аргументированно донести позицию, что сама возможность попыток аутентифицироваться из внешней сети является неприемлемой с точки зрения информационной безопасности, то в течение какого-то времени это может быть реализовано.

Вот, прям, поддерживаю! То же самое ещё надо и на GNU/Linux системах сделать - выпилить встроенную УЗ "root" ... Не забываем про Андроиды (хотя, "root" там заблокирован, но... root`ировать-то можно) )))

Share this post


Link to post
Share on other sites
  • 0
39 минут назад, TheBB сказал:

То же самое ещё надо и на GNU/Linux системах сделать - выпилить встроенную УЗ "root"

Дык PermitRootLogin no

Share this post


Link to post
Share on other sites
  • 0
9 часов назад, KorDen сказал:

Дык PermitRootLogin no

Дык он от этого никуда не денется, а останется в системе ))), а, при наличии сноровки, мона буде и запустить чо-нить из под root`a. Да, привет УЗ "администратор" в Windovs )))

Share this post


Link to post
Share on other sites
  • 0

Здесь ключевое

11 час назад, JIABP сказал:

... УЗ нельзя переименовать или забрать права...

"отстрелить себе руки, ноги и, чтоб наверняка - голову, ессно с контрольным выстрелом" )))

 

Share this post


Link to post
Share on other sites
  • 0

Переименовать admin в superAdmin и сделать ему пароль 1234qwer - это конечно лучше, чем оставить в системе admin с псевдорандомным паролем. /* сарказм */

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Вот как можно решить эту проблему:

разнести сервисы SSH cli и SFTP на разные порты, и включать внешний доступ индивидуально для каждого порта.

Share this post


Link to post
Share on other sites
  • 0
4 часа назад, Jensen сказал:

Вот как можно решить эту проблему:

разнести сервисы SSH cli и SFTP на разные порты, и включать внешний доступ индивидуально для каждого порта.

Как уже написано выше, порт для SSH и SFTP слушает один и тот же демон. Порт можно сменить, но сменится он для обоих протоколов сразу.

Edited by werldmgn

Share this post


Link to post
Share on other sites
  • 0
В 14.06.2020 в 09:28, TheBB сказал:

Дык он от этого никуда не денется, а останется в системе ))), а, при наличии сноровки, мона буде и запустить чо-нить из под root`a. Да, привет УЗ "администратор" в Windovs )))

Встроенная УЗ в винде легко переименовывается в bebebebe

Share this post


Link to post
Share on other sites
  • 0

Сам не пробовал, но может возможно сделать переадресацию порта например 50022 на 22 в качестве получателя указать 192.168.1.1 ? ...а в межсетевой экране внешнего интерфейса запретить доступ по 22 порту.

Share this post


Link to post
Share on other sites
  • 0
21 час назад, MDP сказал:

Сам не пробовал, но может возможно сделать переадресацию порта например 50022 на 22 в качестве получателя указать 192.168.1.1 ? ...а в межсетевой экране внешнего интерфейса запретить доступ по 22 порту.

Нет, так работать не будет. Если заблокировать порт 22, то и пакеты после проброса 50022 -->22 будут также дропаться.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, werldmgn сказал:

Нет, так работать не будет. Если заблокировать порт 22, то и пакеты после проброса 50022 -->22 будут также дропаться.

Ну блокировать то на внешнем интерфейсе, а проброс то на внутренний

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, MDP сказал:

Ну блокировать то на внешнем интерфейсе, а проброс то на внутренний

В данном случае не имеет значения. Пакет все равно попадет в цепочку INPUT нетфильтра. Но даже если бы пакет попадал в FORWARD, все равно бы не работало, т.к. правило назначенное для внешнего интерфейса в вебе появляется в дополнительной созданной прошивкой цепочке "_NDM_ACL_IN", а jump на нее есть как в INPUT так и в FORWARD.

Share this post


Link to post
Share on other sites
  • 0
On 7/8/2020 at 10:19 PM, werldmgn said:

Нет, так работать не будет. Если заблокировать порт 22, то и пакеты после проброса 50022 -->22 будут также дропаться.

Зачем, если есть nmap? Какая разница, какой будет номер порта, если всегда сначала сканируют все порты?

Share this post


Link to post
Share on other sites
  • 0
В 28.07.2020 в 15:29, Ranger сказал:

Зачем, если есть nmap? Какая разница, какой будет номер порта, если всегда сначала сканируют все порты?

Я разве написал, что это нужное действие? Я написал человеку, что озвученный им вариант работать не будет.

Share this post


Link to post
Share on other sites
  • 0
On 7/29/2020 at 5:43 PM, werldmgn said:

Я разве написал, что это нужное действие? Я написал человеку, что озвученный им вариант работать не будет.

Сорри, я не на то сообщение ответил.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...