Repository 32bit  Forum
Repository 64bit  Wiki

Qualcuno sta tentando di accedere alla mia Slackware!

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Messaggioda albatros » dom set 16, 2007 11:20

Beh, polemica sterile, così la disabilitazione funziona.............

Non è una polemica sterile: tu ti fidi di rkhunter, ma sei sicuro che sia bug-free? Ok, nessun programma (o quasi) lo è, nemmeno sshd, ma perché credere a rkhunter?
In linea di principio ha ragione cacao74 a fidarsi di più del manuale di sshd, in ogni caso non sarebbe una polemica inutile, perché ci sarebbe un errore o nel manuale o, peggio ancora, nell'implementazione di sshd, da segnalare agli sviluppatori.
In ogni caso la soluzione migliore è provare (It may be so, there is no arguing against facts and experiments, disse il saggio I. Newton): volevo farlo io, ma vedo che l'ha già fatto anycolouryoulike da The dark side of the Moon ( :thumbright: ).
Ho poco tempo a disposizione, ma mi son letto la parte di rkhunter dove fa il test di sshd: nel tuo caso dovrebbe mettere un avviso solo nel file di log, solitamente disabilitato, però stampa a schermo il messaggio scorretto per cui cui a root non è permesso il login.
Non ho avuto modo di controllare bene, potrei anche sbagliarmi, ma secondo me il baco è in rkhunter.
Due commenti sullo script supponendo che in sshd_config ci sia la riga:
#PermitRootLogin no

I commenti miei li ho racchiusi fra asterischi ****

Ho cercato con less la stringa PermitRootLogin e sono arrivato alla riga 4939, io inizio a commentare dalla riga 4930 (uso rkhunter 1.2.9):

displaytext " Searching for sshd_config... "
SSHDCONFIG_PLACES="${ROOTDIR}etc ${ROOTDIR}etc/ssh ${ROOTDIR}usr/local/etc ${ROOTDIR}usr/local/etc/ssh"
for I in ${SSHDCONFIG_PLACES}; do

*****cerca sshd_config in queste directory*******

if [ -e "${I}/sshd_config" ]

*****e se trova il file*******

then
FOUND=0
displaytext " Found ${I}/sshd_config"
displaytext -n " Checking for allowed root login... "

***** stampa il messaggio sopra*****

permitrootlogin=`cat ${I}/sshd_config | grep "PermitRootLogin" | grep -v "#"`

*****estrae una riga che contiene PermitRootLogin e non contiene "#", che indica il commento, nel nostro caso permitrootlogin=stringa vuota*****

if [ "${permitrootlogin}" = "PermitRootLogin yes" ]

***non è il nostro caso***
then
FOUND=1
logtext "Info: Found 'PermitRootLogin yes'. Unsafe for production servers..."
logtext "Tip: Change the option in your configuration file (${I}/sshd_config)."
logtext " Use normal user accounts and 'su' to obtain root permissions."
else
permitrootlogin2=`cat ${I}/sshd_config | egrep "PermitRootLogin (no|without-password)" | grep -v "#"`

***anche permitrootlogin2 è vuota per noi****
if [ "${permitrootlogin2}" = "PermitRootLogin no" -o "${permitrootlogin2}" = "PermitRootLogin without-password" ]
then
FOUND=0
logtext "Info: Found 'PermitRootLogin no' or 'PermitRootLogin without-password' in SSH configuration file ${I}/sshd_config"
else
permitrootlogin2=`cat ${I}/sshd_config | grep "PermitRootLogin forced-commands-only" | grep -v "#"`

***ancora vuota***
if [ "${permitrootlogin2}" = "PermitRootLogin forced-commands-only" ]
then
FOUND=1
logtext "Info: Found 'PermitRootLogin forced-commands-only'"
else
permitrootlogin3=`cat ${I}/sshd_config | grep "#PermitRootLogin yes"`
***e anche questa è vuota per noi***
if [ ! "${permitrootlogin3}" = "" ]
then

***permitrootlogin è vuota per noi, quindi non è il nostro caso***
FOUND=1
logtext "Info: Found no PermitRootLogin value in file ${I}/sshd_config. Default value is 'yes'."
else

****questo è il nostro caso: FOUND viene posto =0 e viene assegnata una stringa a logtext, che stampa in un file di log che, se guardi all'inizio dello script, è di default disabilitato (se ho letto bene $DEBUGFILE, $DEBUGLOG e il rinvio a /dev/null all'inizio dello script).
FOUND=0
logtext "Unknown PermitRootLogin value found in file ${I}/sshd_config"
fi
fi
fi
fi

if [ ${FOUND} -eq 1 ]

**** non è il nostro caso, FOUND=0 per noi*****
then

if [ "${ALLOW_SSH_ROOT_USER}" = "0" ]
then
displaytext "${red}Watch out ${NORMAL}Root login possible. Possible risk!"
if [ -z "${permitrootlogin}" ]; then
displaytext " info: No 'PermitRootLogin' entry found in file ${I}/sshd_config"
else
displaytext " info: \"${permitrootlogin}\" found in file ${I}/sshd_config"
fi
displaytext " Hint: See logfile for more information about this issue"
logtext "Warning: root login possible. Change for your safety the 'PermitRootLogin'"
logtext "entry in the SSH configuration file ${I}/sshd_config to 'no', and use 'su -' to become root. "
else
logtext "Remote root login permitted, but allowed by using explicit option"
SIZE=36
jump=`expr ${defaultcolumn} - ${SIZE}`
insertlayout
displaytext -e "${LAYOUT}[ ${OK}OK${NORMAL} (Remote root login permitted by explicit option) ]"
fi


****** attenzione!*******

else

***ecco l' else corrispondente a FOUND diverso da 1, come nel nostro caso in cui è 0***

SIZE=36
jump=`expr ${defaultcolumn} - ${SIZE}`
insertlayout
displaytext -e "${LAYOUT}[ ${OK}OK${NORMAL} (Remote root login disabled) ]"
fi
*****ecco che displaytext ci dice che il login a root è disabilitato quando non lo è*******

Naturalmente, avendo fatto le cose abbastanza in fretta, posso anche essermi sbagliato in qualche passaggio, nel qual caso chiedo venia.
Se altri mi confermano il baco, forse converrebbe scrivere due righe a chi sviluppa rkhunter.

Comunque quello che mi preme sottolineare è che, dal mio punto di vista, è una grave falla della sicurezza fidarsi di un programma piuttosto che di un altro (fra l'altro molto ben sviluppato e testato) quando ci sono risultati contrastanti e in aperta contraddizione con la documentazione di un programma, soprattutto se non si fa alcuna prova trascurando del tutto l'anomalia... :)
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda anycolouryoulike » dom set 16, 2007 12:08

Codice: Seleziona tutto
Sep 16 12:59:41 darkstar sshd[505]: Did not receive identification string from 83.17.6.77
Sep 16 13:03:07 darkstar sshd[18302]: Failed password for root from 83.17.6.77 port 45360 ssh2
Sep 16 13:03:11 darkstar sshd[18586]: Invalid user admin from 83.17.6.77
Sep 16 13:03:11 darkstar sshd[18586]: Failed password for invalid user admin from 83.17.6.77 port 45491 ssh2
Sep 16 13:03:24 darkstar sshd[18872]: Invalid user test from 83.17.6.77
Sep 16 13:03:24 darkstar sshd[18872]: Failed password for invalid user test from 83.17.6.77 port 45609 ssh2
alessandro@darkstar:~$ whois 83.17.6.77
fgets: Connessione abbattuta dal corrispondente
Anche oggi!
Come mai?
Avatar utente
anycolouryoulike
Packager
Packager
 
Messaggi: 1158
Iscritto il: gio ago 09, 2007 23:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Messaggioda targzeta » dom set 16, 2007 12:22

ma, scusa, cambiare la porta per il demone ssh? come ti è stato suggerito? a volte basta poco :)

Spina
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6155
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Messaggioda anycolouryoulike » dom set 16, 2007 12:41

Si infatti, ora ho cambiato la porta.
[offtopic]
albatros ha scritto:anycolouryoulike da The dark side of the Moon ( :thumbright: ).
Anche tu appassionato di The Dark Side of the Moon e Pink Floyd? Siamo molti qui su Slacky da quello che ho visto! :D
[/offtopic]
Avatar utente
anycolouryoulike
Packager
Packager
 
Messaggi: 1158
Iscritto il: gio ago 09, 2007 23:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Messaggioda delta » dom set 16, 2007 13:14

altrimenti puoi usare brutesshd
http://sourceforge.net/projects/brutesshd

che serve apposta per i bruteforce di ssh :)
delta
Linux 1.0
Linux 1.0
 
Messaggi: 14
Iscritto il: lun set 10, 2007 23:55

Messaggioda mkt0 » dom set 16, 2007 17:41

quoto in pieno delta :)
Avatar utente
mkt0
Linux 1.0
Linux 1.0
 
Messaggi: 91
Iscritto il: mer mar 10, 2004 0:00
Località: Bologna
Slackware: 13
Kernel: 2.6.32.2 lvm+luks
Desktop: Fluxbox

Messaggioda slucky » dom set 16, 2007 19:39

@albatros
okay, comunque non è un problema mio, se secondo te c'è un bug anche in rkhunter, che è uno dei migliori programmi per la sicurezza, allora segnalalo pure ai programmatori ;)
Quello che so è che disabilitando il "permit root login" senza decommentare, facendo il test il programma mi segnala che è tutto okay ............quindi, non so se è un bug di ssh o di rkhunter, per il resto non saprei cosa dirti, non ho la competenza che hai tu nell'esame degli script dei programmi e quant'altro :D
comunque, ormai non mi meraviglierei, di aver scoperto l'ennesimo bug, dopo quelli in nvidia e pkgtool :lol: :lol:


Ciao e saluti a tutti!!! :)
Avatar utente
slucky
Iper Master
Iper Master
 
Messaggi: 2377
Iscritto il: mar mag 01, 2007 14:30
Slackware: 12.0 / 14.1
Kernel: default
Desktop: gslacky / xfce

Messaggioda albatros » dom set 16, 2007 20:51

slucky ha scritto:okay, comunque non è un problema mio

No, ma può forse eventualmente esserlo se ritieni che l'accesso per root in sshd sia disabilitato quando forse non lo è...
allora segnalalo pure ai programmatori

Beh, sì, aspettavo semmai qualche conferma; in ogni caso, a meno di smentite, la prossima settimana gli scriverò due righe...
quindi, non so se è un bug di ssh o di rkhunter

Prova ad accedere via ssh come root, no? ;)
anyocolouryoulike ha provato e ha riportato:
A me se non decommento la linea il login di root rimane abilitato, decommentandola invece non accetta la password anche se è giusta, quindi presumo che sia disabilitato, quindi quoto cacao74.

Prova anche tu... (potrei farlo anch'io, ma ho poco tempo in questi giorni...)

Ciao! :D
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda Luci0 » dom set 16, 2007 21:11

anycolouryoulike ha scritto:.....
Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!

Esisteva un problema su ssh, ma per poter arrivare ad acquisire i diritti di root, bisogna prima poter individuare un utente abilitato all' uso del sistema .. esiste anche un metodo per identificare quale utente é abilitato in base alla velocità di risposta del sistema ... credo proprio che esista un vero e proprio tool per sferrare questo tipo di attacco ... i log che vedi é probabilmete la traccia lasciata da questa specie "user" sniffer .. l' importante é non lasciare utenti con password banali ... password nulla, = al nome utente etc ... oppure disabilitare il servizio verso l' esterno etc.. ma se il servizio va lasciato attivo é bene verificare se ssh é aggiornato ... la cosa più semplice é spostare la porta di ascolto di ssh in genere questi script automatizzati falliscono se si mescolano un pò le acque ... e gli script kiddies hanno il benservito!!
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda ildiama » lun set 17, 2007 13:52

Riguardo al discorso dell'accesso di root... tu puoi permetterlo o no, ma se hai scelto l'autenticazione con chiavi e root non le ha, non potrà neanche provare ad autenticarsi.
Insomma il PermitRootLogin vale solo per autenticazione con password. O almeno questo è quello che ho capito dalle prove fatte sulle mie macchine.
Ciao.
Avatar utente
ildiama
Linux 2.6
Linux 2.6
 
Messaggi: 536
Iscritto il: mar dic 27, 2005 16:49
Località: Senigallia
Slackware: mine
Kernel: 2.6.alto..
Desktop: KDE4

Messaggioda ildiama » lun set 17, 2007 13:53

Riguardo al discorso dell'accesso di root... tu puoi permetterlo o no, ma se hai scelto l'autenticazione con chiavi e root non le ha, non potrà neanche provare ad autenticarsi.
Insomma il PermitRootLogin vale solo per autenticazione con password. O almeno questo è quello che ho capito dalle prove fatte sulle mie macchine.
Ciao.
Avatar utente
ildiama
Linux 2.6
Linux 2.6
 
Messaggi: 536
Iscritto il: mar dic 27, 2005 16:49
Località: Senigallia
Slackware: mine
Kernel: 2.6.alto..
Desktop: KDE4

Messaggioda anycolouryoulike » lun set 17, 2007 18:52

Appena ho visto tutti quegli avvisi di tentato accesso ho postato dove mi è capitato e non me ne ero manco accorto, mi scuso con i moderatori e tutti!
Ringrazio tutti per le esaurienti risposte :mille:

PS: ma in che sezione avevo postato?
Avatar utente
anycolouryoulike
Packager
Packager
 
Messaggi: 1158
Iscritto il: gio ago 09, 2007 23:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Messaggioda Luci0 » lun set 17, 2007 21:03

Slackware ... :-)
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda albatros » gio set 20, 2007 16:01

@slucky:
ho provato con la versione 1.3.0 (beta4?) di rkhunter.
Nel file di configurazione di rkhunter ho scelto il valore di default per il file di log, ovvero LOGFILE=/var/log/rkhunter.log, mentre per sshd ho messo (o meglio ho lasciato):


#
# The following option is checked against the SSH configuration file
# 'PermitRootLogin' option. A warning will be displayed if they do not
# match. This option has a default value of "no".
#
ALLOW_SSH_ROOT_USER=no

#
# Allow the use of the SSH-1 protocol which is theoretically weaker than SSH-2.
# Do not modify this option unless you have good reasons to use the SSH v1
# protocol (for instance for AFS token passing or Kerberos4 authentication).
#
ALLOW_SSH_PROT_V1=0

#
# This setting tells rkhunter the directory containing the SSH configuration
# file. This setting will be worked out by rkhunter, and so should not
# usually need to be set.
#
SSH_CONFIG_DIR=/etc/ssh

Ovviamente ho messo in /etc/ssh/sshd_config:

#PermitRootLogin no

Avviato rkhunter con l'opzione --check, quando arriva a ssh mi da uno warning e nel file di log si legge:
[16:39:24] Checking for SSH configuration file [ Found ]
[16:39:24] Info: Found SSH configuration file: /etc/ssh/sshd_config
[16:39:24] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'no'.
[16:39:24] Checking if SSH root access is allowed [ Warning ]
[16:39:24] Warning: The SSH configuration option 'PermitRootLogin' has not been
set.
The default value may be 'yes', to allow root access.

Mi pare dunque che il comportamento di rkhunter, per la versione 1.3.0, sia soddisfacente e non vedo il bisogno, come prospettato in precedenza, di fare una segnalazione.

Se dovessi usare sshd, tieni comunque presente che, se non vuoi consentire il login a root, devi togliere il # prima di PermitRootLogin no , altrimenti rimane commentato e il valore di default è yes.
Puoi provare anche in locale avviando /usr/sbin/sshd e tentando di accedere come root con:
ssh -l root 127.0.0.1

Ciao! :)
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Precedente

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti