Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Lås bakdörren med sbd.

Att ha en port öppen till ssh-servern, är kanske inte den största risken som finns, men det är likväl en säkerhetsrisk.

Hur vore det att kunna starta ssh-servern remote innan du loggar in? "Secure Backdoor" är lösningen.
Det är en klient-server lösning som låter dig skicka hårtkrypterade kommandon remote.

Sdb finna att hämta i v0.5 på www.sourceforge.net.

För att kompilera klienten:

g++ -Wall -02 -o sbd csocket.cpp sha1.cpp utils.cpp sbd.cpp

För att kompilera servern

g++ -Wall -02 -o sbdd ssocket.cpp sha1.cpp utils.cpp sbdd.cpp

Kopiera sedan sbd och sbdd till /usr/local/bin

Sedan så måste du skapa 3st filer med slumptalsdata.
2st ska vara identiska, en till servern, en till klienten och den 3:e ska bara servern ha, för att kunna stoppa IP-spoofing.

De två filer som ska vara identiska ska heta enckey.bits och deckey.bits den 3:e och sista athkey.bits är för att sbdd ska kunna skapa engångsnycklar.

För att sedan fylla dem med slumpdata kan du använda dig av http://random.org som skapar riktig slumpdata.

enckey.bits och deckey.bits fyller jag med 25strängar a 10 tecken, kom ihåg att filerna ska vara likadana.
authkey.bits fyller jag med 75 strängar a 10 tecken.
sen ska enckey.bits och deckey.bits ligga i /usr/local/bin på servern och klienten. låt authkey.bits ligga i /usr/local/bin på servern.
Klart!
Sen använder du klienten såhär:

sbd hostname port "message"

Message kan vara ett kommando tex
/etc/init.d/sshd start

Lycka till!

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

fsns bild

Får jag tillåta mig att vara lite djävulens advokat här?

.

sbd använder sig av "hemmaimplementerade" cryptofunktioner. Om jag får gissa så har dom inte genomgått samma mängd med kodgenomgång som exempelvis OpenSSL eller SSHds implementationer. För mig känns det som om det är större risk att det finns en möjlig buffer overflow att utnyttja i olika delar av sbd än i något av ovanstående.

.

Du kan ange vilket kommando som helst. Och det körs som den användaren som kör sbd, dvs. root. Ingen separation på privilegienivå här inte. En något bättre lösning vore att åtminstone konfigurera ett antal acceptabla kommandon man kan tänkas vilja köra (dvs. "/etc/init.d/sshd start").

.

Ingen separation på privilegienivå. SSHd gör ganska mycket för att så mycket kod som möjligt skall exekveras med så få rättigheter som möjligt, man kan konfigurera den så att hela autenticeringen görs av en opriviligierad användare, och det är först när den är färdig som kontrollen lämnas över till root för att kunna exekvera vidare med rätt användare. Allt för att minimera riskerna vid en eventuell buffer overflow.

.

Jag är bra nära att utnämna sbd som dagens orm-olja.

.

Normalt sett litar jag blint på SSHd, OpenSSH-grabbarna vet oftast vad dom gör. Men, hade jag velat vara mer paranoid än så här så hade jag lagt in någon forma av PortKnocking istället. Se portknocking.org.

Oscars bild

Oh, något sånt här har jag letat efter länge - helt genialt!

kanaljes bild

Oscars bild

Oj, det du säger är helt rätt.
Jag blev glad för att jag länge letat efter någon typ av liknande lösning, för att slippa ha portar öppna hur som helst, men att köra något helt okontrollerat så är digitals självmord.

Dock var PortKnocking _precis_ det jag letat efter. Varför har jag inte hittat det tidigare? :/

turbokapitalists bild

Vad anser du som saknas i inetd? Tjänster som SSH kan väl ligga bakom inetd / xinetd.

abergmans bild

Tack
-----------
www.abergman.net

Gentoo Linux