Zum Inhalt springen

Security Question: SSH und Kompromittierung


Empfohlene Beiträge

Geschrieben

Hallo Leute,

ich hätte mal wieder eine etwas "komische" Frage, leider bin ich mir selber nicht sicher, daher interrressiert mich mal die Meinung anderer ;-)

(geht um Linux)

Folgendes Szenario:

Nehmen wir an ich hätte einen Server mit 2x Interfaces.

Das eine nutze ich als öffentliche Kommunikationsschnittstelle (FTP-Server, HTTP-Server und andere Daemons) und das andere Interface ist an eine interne Schnittstelle gebunden. (Nicht erreichbar von außerhalb)

Folgendes:

Wenn ich den SSH-Dienst auf das interne Interface binden würde, d.h. kein SSH-Daemon erreichbar von außen.

Und es tritt der "worst-case" auf, der FTP-Server hat eine Sicherheitslücke die noch nicht gefixed ist.

Jemand attackiert den Dienst und provuziert einen Buffer Overflow.

So nun leider kann ich nicht das genaue Prozedere nachvollziehen, aber es heißt ja immer man kann dadurch Root-Rechte erreichen!

Nun ein böser Bubb, versucht natürlich als nächstes eine Shell hinzubekommen und ein Rootkit einzupflanzen.

Was aber wenn ich kein SSH nach außen anbiete? Was dann?

Er könnte doch nur über den Bufferoverflow "erschwert" Befehle ausführen.

Also im "geringeren/eingeschränkten" Maße?

Bzw. Ist es um Längen schwieriger ohne Shell zu arbeiten?

Trifft diese Aussage zu? (Ich bin mir leider nicht sicher....)

Also würde ich die Sicherheit erhöhen, wenn ich kein SSH nach außen anbiete?

(Ich bin ernsthaft am überlegen ob ich für einen Webcluster, nicht lieber einen Server mit SSH austatte der sonst keine weiteren "kritischen" Dienste nach außen anbietet, und von diesem dann auf die anderen Server über die interne Schnittstelle per ssh kommunzieren zu lassen. Also nur einen Zugangsknoten zu benutzen, anstatt mehrer)

Wie seht ihr das? Würdet ihr mir zustimmen, oder ist das absolut "sinnfrei" was ich da schwaffele ;-)

Ich bedanke mich schonmal

gruß Jens

Geschrieben

Was aber wenn ich kein SSH nach außen anbiete? Was dann?

Er könnte doch nur über den Bufferoverflow "erschwert" Befehle ausführen.

Also im "geringeren/eingeschränkten" Maße?

Bzw. Ist es um Längen schwieriger ohne Shell zu arbeiten?

Er braucht ja kein SSH dafür und keine Shell nach außen. Wenn er über einen Fehler in deinem FTP-Dienst reinkommt und dort auch Code zum laufen bekommt, dann wird er eigentlich nicht noch versuchen ne Lücke in deinem SSH zu finden. Es reicht ja, wenn er den FTP-Server missbraucht.

Z.B. könnte er ein als Code wget (u.ä.) ausführen lassen und damit von irgendwo vorbereitete Perl-Skripte o.ä. runterladen. Dies müsste er dann nur starten und könnte damit dann schon mehr tun und sich außerdem zu einem IRC Channel verbinden und von dort weitere Befehle abwarten.

Wenn mit dem BufferOverflow nur Code ausgeführt werden kann muss es nicht unbedingt heißen, dass er sich dadurch Root-Rechte verschaffen kann. Der Code würde dann mit den Rechten des FTP-Benutzers ausgeführt. Das würde ja aber schon reichen um o.g. auszuführen.

Wenn du deinen Server abdichten willst, kannst du z.B. per IP-Tables alle abgehenden Verbindungen (die nicht von außen angefordert wurden, also z.B. FTP- oder HTTP-Server o.ä.) verbieten. Der Verbindungsaufbau zu IRC würde dann scheitern, genauso wie wget (oder ähnliches).

Also das oben war die Vorgehensweise eines Einstiegs bei uns. Wie genau der rein kam konnten wir nicht 100% nachvollziehen, auf jeden Fall waren da einige Dinge lange ungepatcht... und auch jetzt (nachdem die aktuellsten dafür verfügbaren Stände drauf sind) ist es IMHO noch nicht so weit her mit der Abdichtung (vorallem weil das aktuellste nicht wirklich aktuell ist), aber es soll bald was neues kommen... bin mal gespannt wann das sein wird.

Geschrieben

Danke Jesterday,

wieder mal etwas schlauer geworden!

Den Tipp werde ich mal umsetzen ;)

Es ginge mir eigentlich nicht darum eine Lücke im SSH auszunutzen. (Was ja eh sehr unwarscheinlich sein dürfte ;) )

Sondern vielmehr darum, das er sich dann nicht einfach mit fremden Code einen Benutzeraccount auf der Maschine erstellen kann. Und dann später munter mit einem frisch erstellten SSH Account pfuschen kann. Diese Möglichkeit hätte er ja dann quasi nicht.

gruß Jens

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...