Security Question: SSH und Kompromittierung

[-uLtrA-]

Hallo Leute,

ich hätte mal wieder eine etwas "komische" Frage, leider bin ich mir selber nicht sicher, daher interrressiert mich mal die Meinung anderer ;-)

(geht um Linux)

Folgendes Szenario:

Nehmen wir an ich hätte einen Server mit 2x Interfaces.

Das eine nutze ich als öffentliche Kommunikationsschnittstelle (FTP-Server, HTTP-Server und andere Daemons) und das andere Interface ist an eine interne Schnittstelle gebunden. (Nicht erreichbar von außerhalb)

Folgendes:

Wenn ich den SSH-Dienst auf das interne Interface binden würde, d.h. kein SSH-Daemon erreichbar von außen.

Und es tritt der "worst-case" auf, der FTP-Server hat eine Sicherheitslücke die noch nicht gefixed ist.

Jemand attackiert den Dienst und provuziert einen Buffer Overflow.

So nun leider kann ich nicht das genaue Prozedere nachvollziehen, aber es heißt ja immer man kann dadurch Root-Rechte erreichen!

Nun ein böser Bubb, versucht natürlich als nächstes eine Shell hinzubekommen und ein Rootkit einzupflanzen.

Was aber wenn ich kein SSH nach außen anbiete? Was dann?

Er könnte doch nur über den Bufferoverflow "erschwert" Befehle ausführen.

Also im "geringeren/eingeschränkten" Maße?

Bzw. Ist es um Längen schwieriger ohne Shell zu arbeiten?

Trifft diese Aussage zu? (Ich bin mir leider nicht sicher....)

Also würde ich die Sicherheit erhöhen, wenn ich kein SSH nach außen anbiete?

(Ich bin ernsthaft am überlegen ob ich für einen Webcluster, nicht lieber einen Server mit SSH austatte der sonst keine weiteren "kritischen" Dienste nach außen anbietet, und von diesem dann auf die anderen Server über die interne Schnittstelle per ssh kommunzieren zu lassen. Also nur einen Zugangsknoten zu benutzen, anstatt mehrer)

Wie seht ihr das? Würdet ihr mir zustimmen, oder ist das absolut "sinnfrei" was ich da schwaffele ;-)

Ich bedanke mich schonmal

gruß Jens

[geloescht_JesterDay]

Was aber wenn ich kein SSH nach außen anbiete? Was dann?

Er könnte doch nur über den Bufferoverflow "erschwert" Befehle ausführen.

Also im "geringeren/eingeschränkten" Maße?

Bzw. Ist es um Längen schwieriger ohne Shell zu arbeiten?

Er braucht ja kein SSH dafür und keine Shell nach außen. Wenn er über einen Fehler in deinem FTP-Dienst reinkommt und dort auch Code zum laufen bekommt, dann wird er eigentlich nicht noch versuchen ne Lücke in deinem SSH zu finden. Es reicht ja, wenn er den FTP-Server missbraucht.

Z.B. könnte er ein als Code wget (u.ä.) ausführen lassen und damit von irgendwo vorbereitete Perl-Skripte o.ä. runterladen. Dies müsste er dann nur starten und könnte damit dann schon mehr tun und sich außerdem zu einem IRC Channel verbinden und von dort weitere Befehle abwarten.

Wenn mit dem BufferOverflow nur Code ausgeführt werden kann muss es nicht unbedingt heißen, dass er sich dadurch Root-Rechte verschaffen kann. Der Code würde dann mit den Rechten des FTP-Benutzers ausgeführt. Das würde ja aber schon reichen um o.g. auszuführen.

Wenn du deinen Server abdichten willst, kannst du z.B. per IP-Tables alle abgehenden Verbindungen (die nicht von außen angefordert wurden, also z.B. FTP- oder HTTP-Server o.ä.) verbieten. Der Verbindungsaufbau zu IRC würde dann scheitern, genauso wie wget (oder ähnliches).

Also das oben war die Vorgehensweise eines Einstiegs bei uns. Wie genau der rein kam konnten wir nicht 100% nachvollziehen, auf jeden Fall waren da einige Dinge lange ungepatcht... und auch jetzt (nachdem die aktuellsten dafür verfügbaren Stände drauf sind) ist es IMHO noch nicht so weit her mit der Abdichtung (vorallem weil das aktuellste nicht wirklich aktuell ist), aber es soll bald was neues kommen... bin mal gespannt wann das sein wird.

[-uLtrA-]

Danke Jesterday,

wieder mal etwas schlauer geworden!

Den Tipp werde ich mal umsetzen

Es ginge mir eigentlich nicht darum eine Lücke im SSH auszunutzen. (Was ja eh sehr unwarscheinlich sein dürfte )

Sondern vielmehr darum, das er sich dann nicht einfach mit fremden Code einen Benutzeraccount auf der Maschine erstellen kann. Und dann später munter mit einem frisch erstellten SSH Account pfuschen kann. Diese Möglichkeit hätte er ja dann quasi nicht.

gruß Jens