[FUGSPBR] Ssh Backdoor
Antonio Torres
antonio.torres em newspace.net.br
Qua Ago 14 18:01:43 BRT 2002
On Wed, 14 Aug 2002 17:41:13 -0300
"Fernando Costa de Almeida" <falmeida em easyit.com.br> wrote:
>
> > Valeu, vou procurar me inscrever nesta lista ou em outra do mesmo
> genero...
> > Confesso que foi mesmo um pouco 'off-topic' a questao, mas achei que como
> > tem alguma relacao com seguranca e, por consequencia, com FreeBSD (ou
> > ninguem quer que sua plataforma esteja segura?), fosse ainda viavel nesta
> > lista....
>
> Mas, sugerindo como alternativa a um backdoor:
> Porque você não cria chaves públicas e privadas sem senha em seus
> servidores e faz com que o seu cliente ssh se autentique atravéz delas?
>
> Seria perfeito... o objetivo eh criar um tipo de acesso irrestrito. Tipo
> o cliente tem algum problema e seta algo no servidor que me da o acesso por
> algum tempo, digamos 24 hrs, aonde o suporte poderia verificar o problema.
> (isso seria o ideal).
>
> Você também pode usar Kerberos ou S/Key para isso. Assim não há a
> necessidade de digitação de senhas.
>
> Otimo, vou ler sobre o assunto, e tbem acredito que seja uma alternativa
> melhor do que mexer no fonte do ssh.
>
> Imagino que você queira implementar uma garantia de acesso caso seu cliente
> fique de 'saco cheio' e resolva
> alterar a senha para você não ter mais acesso a máquina, estou correto?
>
> Sim.
>
>
hummm... a questão, finalmente, está ficando mais clara... :)
Acho, até, que a ideia pode ser descrita como sendo para situações em que houve "invasão" em uma maquina remota, ou que, por problema de I/O (Incompetencia do Operador), as senhas tenham sido perdidas ou destruidas......
minha (humilde) sugestão seria a instalação de uma VPN, baseada em chave-local e chave-remota, que te permitiria 'ganhar' um shell com UID root (quem sabe toor?), sem senhas e sem usar "meios convencionais(telnet/ssh)" de login.
no caso de I/O resolveria....
no caso de invasão, quem sabe... mas seria mais uma alternativa, antes de ter que ir ao console da maquina (às vezes ela pode estar a centenas de quilometros)
[]s
--
Antonio Torres
antonio.torres em newspace.net.br
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd