SSH an nicht vertrauenswürdige Maschine

7

Wenn ich SSH an einen Remote-Server setze, können die Administratoren dieses Computers mithilfe meiner SSH-Sitzung Daten über die Verbindung zurücksenden und etwas an meinen lokalen PC senden? Ich verwende DSA-Schlüssel und erlaube keine Kennwortanmeldungen auf meinem SSH-Server, und ich erlaube keinen Root-Zugriff. Wenn es trotz dieser Vorsichtsmaßnahmen immer noch möglich wäre, könnten Sie erklären, wie es mit Code / Links gemacht wird, damit ich es verstehen kann?

Eine andere Sache, über die ich mir Sorgen mache, ist, dass die Administratoren, wenn ich eine Verbindung zum Remote-Server herstelle, möglicherweise meine PTS-Sitzung entführen und einfach tippen können exit, um zu meinem PC zu gelangen. Bitte lassen Sie mich erneut wissen, ob dies möglich ist, und geben Sie in diesem Fall Code / Links an

Ich habe ein bisschen gegoogelt und bisher nichts aufgetaucht.

ssh security mulllhausen
quelle
2
Wir können mit nichts Illegalem helfen, sorry. Der Kern der Frage, was Remote-Administratoren tun können, wenn Sie SSH-fähig sind, ist jedoch gut. Deshalb habe ich genau das bearbeitet
Michael Mrozek
@ Michael Mrozek - danke. Ich habe die rechtliche Seite nicht berücksichtigt, als ich die Frage schrieb
Mulllhausen
1
Siehe auch diese ähnliche Frage bei Super User .
Gilles 'SO - hör auf böse zu sein'

Antworten:

8

Es ist ihnen nicht möglich, einfach Ihre Verbindung zu entführen und Ihren PC zu übernehmen, nur weil Sie SSH verwendet haben, um eine Verbindung zu ihrem Remote-Server herzustellen. Alles, was Sie auf diesem Remote-Server tun, kann jedoch überwacht werden. Alle Kennwörter, die Sie möglicherweise über die Remote-SSH-Verbindung eingeben, können erfasst werden. Dies liegt jedoch daran, dass Sie diese Daten an sie senden und nicht daran, dass sie Ihren Heimcomputer überwachen. Wenn sie Ihre PTS-Sitzung entführen, können sie nichts weiter tun als Sie auf ihrem eigenen Remote-Server. Es bringt ihnen nichts, da sie bereits so viel Macht über ihren eigenen Server haben. Wenn sie exit eingeben, wird Ihre Remote-Shell beendet und Sie werden gebootet, aber sie erhalten keine Kontrolle über Ihren Computer. Diese PTS-Sitzung befand sich auf dem Remotecomputer und hat nichts mit PTS-Sitzungen zu tun, die möglicherweise auf Ihrem Heimcomputer stattfinden. Es besteht immer die Möglichkeit, dass Ihr SSH-Client einen Sicherheits-Exploit aufweist, der ihm Zugriff auf Ihren Computer verschafft. Wenn Sie Ihre Software jedoch angemessen auf dem neuesten Stand halten, ist dies äußerst unwahrscheinlich und ich würde mir darüber keine Sorgen machen.

Vor diesem Hintergrund gibt es Möglichkeiten, Ihren Computer mit SSH anfälliger zu machen. Wenn Sie eine bestimmte Art der Weiterleitung aktivieren, können diese möglicherweise gegen Sie verwendet werden. Alle Weiterleitungen sind standardmäßig deaktiviert. Wenn Sie die Agentenweiterleitung aktiviert haben, können sie alle privaten Schlüssel verwenden, die Sie in Ihren Agenten auf Ihrem Heimcomputer geladen haben, jedoch nur, während die SSH-Verbindung hergestellt ist. Ein Agent erlaubt niemandem, Schlüssel zu stehlen, aber er kann sie verwenden, solange Sie sie an seinen Server weiterleiten. Sie sollten niemals die Agentenweiterleitung an einen nicht vertrauenswürdigen Computer aktivieren. Mit der X11-Weiterleitung können sie Anwendungen starten und sogar die Kontrolle über Ihre X-Sitzung übernehmen. OpenSSH filtert das X11-Protokoll standardmäßig beim Weiterleiten (es sei denn, Sie haben ForwardX11Trusted aktiviert), sodass sie nicht die vollständige Kontrolle übernehmen können. Sie können jedoch weiterhin Fenster in Ihre X-Sitzung laden. Auch hier muss die X11-Weiterleitung mit Vorsicht verwendet werden.

Pinguin359
quelle
tolle Antwort @ penguin359. Können Sie etwas genauer erläutern, warum durch die Entführung einer PTS-Sitzung nur auf den PC zugegriffen werden kann, auf dem sich diese Sitzung befindet? Sie erwähnen auch, dass Remote-Administratoren Daten von meinen privaten SSH-Schlüsseln sehen können. Können Sie etwas näher erläutern, welche Daten verfügbar sind? Das ist gutes Wissen über x11-Weiterleitung - etwas, das mir vorher nicht bewusst war. Ich habe 2 eigene Server und möchte einige davon testen. Wenn Sie also grundlegende Beispiele für: x11-Exploits nennen könnten, wäre das großartig!
Mulllhausen
6

Trotzdem habe ich eine gute Vorstellung davon, wie ich den eigentlichen SSH-Einbruch durchführen werde, aber meine Frage lautet: Wenn ich Zugriff auf den Remote-Server erhalte, können die Administratoren dieses Computers meinen SSH verwenden Sitzung, um Daten über die Verbindung zurückzusenden und meinen lokalen PC zu infizieren?

Dies hängt vom verwendeten Client ab.

Möglich? Ja, zum Beispiel: http://archive.cert.uni-stuttgart.de/bugtraq/2002/12/msg00261.html

Wahrscheinlich? Nein.

Eine andere Sache, über die ich mir Sorgen mache, ist, dass die Administratoren, wenn ich Zugriff auf den Remote-Server erhalte, möglicherweise meine PTS-Sitzung entführen und einfach exit eingeben können, um zu meinem PC zu gelangen.

Dies wird nicht passieren. Wenn sie Ihre Shell "entführen" und sie eingeben exit, wird die Shell beendet, nichts weiter.

Im Allgemeinen ist es eine schlechte Idee, in ein anderes System einzubrechen. Es gibt Gesetze dagegen und es ist einfach ein Verbrechen.

Es ist noch schlimmer, in ein System einzudringen, wenn Sie keine Ahnung haben, was Sie tun. Ihre Fragen legen nahe, dass dies der Fall ist.

Einfacher Rat: Blacklist die IP und das wars.

Echox
quelle
Sie gaben viel bessere Details als ich :-) +1
Rory Alsop
danke für den kitt link - interessant. Ich benutze OpenSSH_5.3p1 für Ubuntu 10.04, also sollte es ziemlich sicher sein. Könnten Sie den Code angeben, wie eine Sitzung "entführt" werden könnte? Es ist wahr - ich bin sehr neu in Linux und ich habe nicht viel Ahnung, was ich tue. Aber Wissen ist nie eine schlechte Sache und ich lerne sehr schnell. Übrigens wurde die Frage geändert, um die illegalen Teile zu entfernen.
Mulllhausen
1
Zunächst: Ich weiß nichts über aktuelle Mängel dieser Art. Das Advisory stammt aus dem Jahr 2002. Hier ist der Link zum Advisory: cert.org/advisories/CA-2002-36.html hier zur Testsuite, mit der der Fehler entdeckt wurde: rapid7.com/security-center/tools.jsp und hier der Link zu einem Metasploit-Test: packetstormsecurity.org/files/view/83008/putty_msg_debug.rb.txt
echox
2

Sie erkennen, dass das, was Sie tun möchten, in den meisten Ländern illegal ist und Sie zu Geldstrafen oder Inhaftierungen führen kann.

Ernsthaft - TUN SIE ES NICHT!

Blockieren oder auf die schwarze Liste setzen, nicht zurückschlagen.

(In der tatsächlichen Antwort auf Ihre Frage - nein, es sei denn, Ihr SSH-Client ist anfällig für einen Exploit vom anderen Ende, es gibt nichts, was Sie direkt tun könnten. Wenn Sie Dateien von ihrem Ende herunterladen, befinden Sie sich an einem anderen Ort - dort könnte dort Malware sein)

Rory Alsop
quelle
1
oder es sei denn, Ihr SSH-Client leitet etwas weiter (insbesondere ist er möglicherweise so konfiguriert, dass er standardmäßig X weiterleitet)
Gilles 'SO - hör auf, böse zu sein'
2

Versuchen Sie es, um die Sicherheit zu erhöhen und den Cluter in den Protokollen zu entfernen fail2ban. In debian / ubuntu ist alles, was Sie brauchen apt-get install fail2ban, (iirc, kann jetzt nicht überprüfen), dass die Standardeinstellungen eine IP nach 4 Versuchen für eine halbe Stunde blockieren. Es gibt auch Beispielkonfigurationen für andere Dienste.

Eine andere Möglichkeit besteht darin, den Überwachungsport zu ändern. Die meisten Einbruchsversuche werden von Bots unternommen, die nur Port 22 angreifen.

Oder kombinieren Sie beide Optionen, und wenn Sie bis auf wenige IPs alles blockieren können, tun Sie dies auch.

Das Eindringen in die Systeme anderer ist illegal, Zeitverschwendung und bringt Sie nur in Schwierigkeiten.

forcefsck
quelle