É mais seguro usar um chroot jail, um shell de cadeia ou uma combinação?

Navegue suas respostas
8

Uma amiga minha tem um netbook Acer baseado em xandros e tem procurado alguma administração remota e ajuda de mim enquanto viaja pelo mundo.
Eu configurei uma conta em seu netbook para eu usar o ssh, e configurei um script para reverter o ssh-tunnel de seu netbook para o meu servidor - isso me permite contornar os problemas com firewalls etc em vários albergues e hotéis. Uma vez que ela tenha ssh'ed no meu servidor, eu posso então ssh junto ao seu netbook.

Eu tenho um script bash que é executado como o shell dela quando ela está no meu servidor, o que apenas dá a ela um tipo de tela 'por favor espere', e a única opção é sair do script, e portanto, é iniciado a partir do servidor.

O usuário que eu criei para ela no meu servidor tem direitos baixos, mas provavelmente haverá alguma exploração que significaria que ela teria acesso ssh ao meu servidor.

Estou pensando em usar também uma prisão chroot, então se ela escapar, ela só terá acesso ao seu diretório pessoal.
Essa é uma boa ideia, e há outras dicas de segurança que eu possa ter perdido para manter meu servidor seguro, enquanto ainda me permite acessar seu netbook remotamente?

Para esclarecer, eu não acho que ela vai tentar escapar da prisão, ou o chroot, mas eu gostaria de saber como eu poderia evitar isso apenas no caso.

Atualização:
E você tem alguma outra sugestão de como eu poderia acessar o netbook ou outras camadas que eu poderia colocar entre o usuário e meu hardware?

    
por Andy 21.07.2009 / 19:15

4 respostas

3

Você já pensou em configurar o VNC ou outro aplicativo de controle remoto em uma porta que normalmente não é filtrada por um firewall por regras?

Um exemplo de configuração disso teria o VNC (ou outro aplicativo semelhante) carregado no notebook. Em seguida, execute o script do lado do notebook para acessar o servidor em uma porta específica que não será filtrada pelo firewall para estabelecer o caminho de retorno para o sistema. 443 é provavelmente a melhor porta a ser usada para isso, mas outras também são adequadas. Em seguida, a partir do seu sistema, basta conectar-se diretamente ao VNC ou replicar uma porta em seu servidor para outro número de porta e apenas conectar-se à interface na porta local e o redirecionamento de porta tratará de levá-lo ao outro sistema no terminal remoto. / p>

Espero que isso ajude.

    
por 22.07.2009 / 15:39
2

O chroot jail ajudará, mas com um exploit que deixa alguém entrar em um shell, eles ainda poderão ver a tabela de processos, e rodar programas, possivelmente outras explorações. Se você quer realmente ser agressivo sobre isolar o usuário externo, é meio que usar um obus em uma formiga, mas você pode configurar um servidor virtual privado para todo o mecanismo de túnel ssh. Então, o pior que podem fazer é estragar o VPS, impedindo a capacidade de sair de um, o que é uma barra bastante alta.

    
por 21.07.2009 / 20:37
2

Eu sou fã de uma boa defesa em profundidade estratégia quando se trata de proteger um sistema de computador, então eu recomendo que você use uma conta de baixo privilégio em um sistema de arquivos chrooted, e mesmo assim não é garantia, basta olhar para o iPhone, ele faz as duas coisas e ainda não ajuda.

    
por 22.07.2009 / 09:33
2

Outra maneira de eliminar esse animal agora que estou pensando é encapsular o tráfego x session dentro de um túnel SSH como uma alternativa ao uso do VNC. Você já está no meio do caminho agora com sua configuração atual.

Configure a habilidade X em uma porta específica localmente para aquela máquina, depois encaminhe essa porta para si mesmo através do túnel e, em seguida, replique-a para uma porta ao seu lado para que você possa se conectar à sessão na porta local em seu servidor .

Outra coisa que encontrei e que é totalmente útil para esse tipo de coisa é o DNS dinâmico. Isso permitirá que você defina um FQDN resolvível que possa ser consultado sempre que necessário. O DyDns é executado como um serviço leve no sistema em que você o instalou e atualiza o registro sempre que as informações do endereço IP são alteradas.

    
por 25.07.2009 / 15:19

Tags

Firefox rodando com argumentos raros OS X: Posso colar texto sem formatação por padrão?