From: Evgeny Sinelnikov <sin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Новый control для sshd: sshd-allow-gssapi
Date: Wed, 9 Oct 2019 16:10:18 +0400
Message-ID: <CAK42-Gr1mFuj=3Ac_zR3hx8EZFfuD1qbGeJHAe5a-ZTk53SoDA@mail.gmail.com> (raw)
In-Reply-To: <20191008142111.GE7970@altlinux.org>
Здравствуйте,
по сути речь о том, стоит ли выносить дополнительные control-файлы в
специальный пакет, если они относятся к конкретному пакету? В данном
случае к openssh.
вт, 8 окт. 2019 г. в 18:21, Alexey V. Vissarionov <gremlin@altlinux.org>:
>
> On 2019-10-08 15:11:22 +0300, Igor Chudov wrote:
>
> > Мы в Саратовском офисе сделали новый control для переключения
> > возможности авторизации sshd с использованием GSSAPI
>
> s/авторизации/аутентификации/ :-)
>
> > Предлагаем забрать его в пакет openssh, так как функционал
> > относится именно к нему.
>
> Вопрос номер ноль: кому и зачем может быть нужна эта дырища?
А можно по-подробнее в чём конкретно это дырища, какие конкретно
векторы атак и при каких условиях подразумеваются? Иначе это звучит
слишком голосовно.
В нашем случае, смысл в этом следующий. У нас довольно активно
пользователи из домена (то бишь админы), начинающие управлять рабочими
станциями, ходят через пароль/логин. Такой вот windows-подход в домене
на базе samba - ничего особенного.
Но... Если рабочая станция в домене Active Directory (впрочем это
относится также к FreeIPA и любому другому домену на базе Kerberos) и
на ней у пользователя имеются рутовые права, то заходить на неё по
паролю/логину удалённо, в целом, уже небезопасно. При таком логине не
контролируется явно получение TGT, которым можно воспользоваться. Это
раз. При таком логине, можно "подслушать" пароль, поскольку доверие в
домене построено не по узлам. Это два. То есть, по умолчанию, в общем
случае, хост заранее скомпроментирован возможным недобросовсестным
пользователем.
Вход по GSSAPI этот вектор атаки позволяет обойти.
> Есть же PubkeyAuthentication - его достаточно для всего (в
> том числе для сертификатов ssh-rsa-cert-v01@openssh.com и
> ssh-ed25519-cert-v01@openssh.com).
Причём тут сертификаты?
> > Было бы здорово услышать Вашу оценку касательно того, стоит ли
> > держать такие вещи в отдельном пакете или сразу интегрировать
> > в соответствующие настройкам пакеты?
>
> В демоне sshd всю нечисть наподобие паролей, сабжа и PAM следует
> ампутировать если не на этапе сборки, то в изкоробочном конфиге
> уж точно.
>
> С клиентом ssh, увы, сложнее...
Кроме включения GSSAPI для серверной стороны (sshd-allow-gssapi),
нужен аналогичный - для клиентской (ssh-allow-gssapi).
Ещё одна настройка, которая кажется интересной и которой я постоянно
пользуюсь - это группа remote:
# grep remote /etc/openssh/sshd_config
AllowGroups wheel remote
Суть наличия дополнительной группы в том, чтобы дать право на
удалённый логин через ssh, не выдавая права на запуск su (то есть не
добавляя в группу wheel).
Эти настройки - суть политики. Какие-то из них предполагается включать
сразу при вводе компьютеров в домен. Но, в целом, они самоценны и вне
контекста какой-либо инфраструктуры.
Так вот. Как лучше поступить? Держать их в отдельном пакете или сразу
интегрировать, в openssh?
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2019-10-09 12:10 UTC|newest]
Thread overview: 14+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-10-08 12:11 Igor Chudov
2019-10-08 14:21 ` Alexey V. Vissarionov
2019-10-08 17:30 ` Dmitry V. Levin
2019-10-09 11:58 ` Alexey V. Vissarionov
2019-10-09 14:53 ` Michael Shigorin
2019-10-10 4:55 ` Alexey V. Vissarionov
2019-10-10 9:37 ` [devel] [JT] задачи альта (was: Новый control для sshd: sshd-allow-gssapi) Michael Shigorin
2019-10-09 12:10 ` Evgeny Sinelnikov [this message]
2019-10-09 13:45 ` [devel] Новый control для sshd: sshd-allow-gssapi Alexey V. Vissarionov
2019-10-09 19:54 ` Evgeny Sinelnikov
2019-10-10 6:31 ` Alexey V. Vissarionov
2019-10-10 15:21 ` Evgeny Sinelnikov
2019-10-10 15:36 ` Dmitry V. Levin
2019-10-21 12:15 ` Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='CAK42-Gr1mFuj=3Ac_zR3hx8EZFfuD1qbGeJHAe5a-ZTk53SoDA@mail.gmail.com' \
--to=sin@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git