Sind kostenlose Shell-Accounts sicher?

12

Ich versuche herauszufinden , wie sicher die kostenlosen Shell-Accounts von Leuten wie shellmix.com sind. Ich habe selbst noch nie eines benutzt, möchte es aber jemandem empfehlen, der sich für das Erlernen der Shell-Programmierung interessiert. Sind sie für diesen Zweck sicher? Was muss ich beachten?

shell-script learning Prasanna K Rao
quelle
5
Berücksichtigen Sie auch die Vorteile einer Live-CD- Distribution. Keine Datenschutzprobleme, keine Sicherheitsbeschränkungen, keine Probleme mit der Netzwerkgeschwindigkeit.
Manatwork
Ich habe Shellmix benutzt. Es ist in Ordnung. Eine Live-CD ist imho besser, oder noch besser Virtualbox installieren (wenn Sie eine Multi-Core-CPU haben)
Sirex
VirtualBox und eine Linux-Distribution Ihrer Wahl sind kostenlos. Im Gegensatz zu Cygwin oder Mingw haben Sie ein vollständiges natives Betriebssystem, mit dem Sie arbeiten können, und die Sicherheitsbedenken von betrügerischen Administratoren verschwinden.
Fiasco Labs

Antworten:

14

Als allgemeine Faustregel gilt, dass Sie einer Maschine nur so sehr vertrauen, wie Sie ihren Stammbenutzern vertrauen. Dies gilt sowohl für die technische Kompetenz (insbesondere in Bezug auf Sicherheit) als auch für die allgemeine Vertrauenswürdigkeit. Da es unwahrscheinlich ist, dass Sie die Admins von Shellmix kennenSehr gut, es ist wahrscheinlich eine schlechte Idee, den Rechnern, auf denen sich Ihr Konto befindet, mehr zu vertrauen, als Sie es mit einem zufälligen Kästchen im Internet tun würden. Wenn Sie nur Shell-Skripte schreiben und die gelegentliche Hallo-Welt kompilieren, sollte es Ihnen gut gehen. Angenommen, alles, was Sie in die Remote-Shell eingeben, kann möglicherweise von anderen gelesen werden. Stellen Sie dort auch vorübergehend nichts auf, was Sie nicht öffentlich haben möchten. Dies beinhaltet die Hardcodierung persönlicher Informationen oder Informationen über Ihren eigenen Computer wie Hostnamen, Benutzernamen, Verzeichnislayout usw. in Shell-Skripten. Verwenden Sie, wie von @SamBisbee in den Kommentaren erwähnt, ein eindeutiges Kennwort, das Sie für nichts anderes wiederverwenden. Außerdem gibt es Sicherheitsrisiken beim Weiterleiten von X11-Verbindungen (dh ssh -Xzur Shellmix-Maschine) von einer nicht vertrauenswürdigen Maschine, sodass ich dies ebenfalls vermeiden würde.

jw013
quelle
1
Ich stimme Ihrer allgemeinen Paranoia zu, aber gibt es dokumentierte Fälle, in denen Leute eine voll funktionsfähige Shell-Umgebung als Honigtopf einrichten? Ich meine, ich hatte im Laufe der Jahre Konten bei nyx.net und sdf.lonestar.org, und ich habe noch nie von einer solchen Verrücktheit gehört, wie Sie sie vorschlagen.
Bruce Ediger
4
Ich habe auch noch nie von solchen Honeypots gehört, aber es besteht immer die Möglichkeit, dass ein Benutzer die Rechteerweiterung verwaltet oder sogar ein betrügerischer Administrator. Dennoch ist "es ist noch nie passiert" nicht gerade das fundierteste Sicherheitsprinzip, auf das man sich stützen kann.
jw013
1
Verwenden Sie auch ein Passwort zum Wegwerfen. Als Root können sie Ihr nicht abgeschattetes Passwort sehen und diesen Trottel rippen. Und unter KEINEN Umständen sollten Sie NIEMALS private Schlüssel (GPG, SSH usw.) auf dieser Box haben.
Sam Bisbee
1
Beachten Sie, dass selbst semimodernes ssh sowohl -X als auch -Y enthält. In diesen Versionen ist -X viel sicherer. Siehe die ssh-Dokumentation.
Derobert
2

Haben Sie schon an Cygwin gedacht ? Höchstwahrscheinlich können Sie alles tun, was Sie möchten, und zwar bequem auf Ihrem Windows-Betriebssystem (und Ihrem eigenen Computer).

Aaron D. Marasco
quelle
0

Hier ist eine bash-ähnliche Shell für Windows , die eine Alternative oder Erweiterung zu einem Shell-Konto sein kann. Ein Vorteil ist, dass Sie in einem GUI-Dateimanager sehen können, welche Auswirkungen Ihre mkdir-, touch-, rmdir ... - Befehle aus einer zweiten Perspektive hatten.

Ein weiterer Vorteil ist das umfangreiche Toolset (grep, sed, awk, ...) des GNU-Toolkits, wenn Sie unter Windows arbeiten. Wenn Sie sich daran gewöhnt haben, werden Sie sie gerne nicht verpassen.

Benutzer unbekannt
quelle
2
Warum nur eine Handvoll Utensilien? Cygwin installieren und fertig.
Aaron D. Marasco
1
Weil es schlank und praktisch ist, wenn Sie selten Fenster verwenden. Für die reale Arbeit benutze ich Linux mit virtuellen Desktops und so weiter - Cygwin hat mir nie gefallen.
Benutzer unbekannt