Re: fjärrskrivbord

Ricard Nordberg ricard at myitpartner.se
Sön Apr 10 19:33:39 UTC 2011 


Hej,

Jag använder en private key, DSA om man så vill, och inte ett långt 8 tecken lösenord.
Det är nu inte så värst komplicerat, och NX har enkelt stöd för det.
Såklart. 

Såklart att man kan brutalt forcera ett lösenord, särskilt en 8 teckens lösen av sorten "dont4get" men redan vid "D0nT4g8t" tar det betydligt längre tid - tid som kan användas av en administratör som kanske även ställt in listiga saker som max antal försök innan spärr, gjort ett litet script som meddelar admin om vad som är på gång osv osv osv. Ja, inget av detta är ju något nytt.

Det finns ju en del saker man kan göra på serversidan, begränsa vilka ip som får ansluta, vilka tider som får anslutas och tusen andra små saker. Samt en magisk sak som jag verkligen skulle rekommendera till alla som inte känner till det: Läs loggfilen.

Till detta kommer naturligtvis diskussionen om det relativa begreppet "tillräcklig säkerhet" - vad är det för maskin man fjärrstyr? Jag fjärrstyr t.ex min desktop på kontoret hemifrån.  
Hur ser hotbilden ut egentligen? Är det riktiga "hackers" som lika gärna kan göra ett inbrott eller är det scriptkids man har som opposition?

Så i mitt fall då..
Om jag utan lösenord skulle sätta upp min ws brevid statyn Sola här i Karlstad upplåst skulle jag ändå inte bli av med något särskilt viktigt. Vi har inte problemet att folk läser våra dokument utan att de inte gör det. Jag skyddar mig för att ingen skall använda min dator till spam eller ovan brute force. Samt för att komma åt skrivaren på kontoret även om jag är på fältet.
Har man andra behov får man ju anpassa sig till det.

Klart man lägger säkerhetsnivån i paritet med vad som skall skyddas. 

Gör man ovan skulle jag säga att man är "tillräcklig" skyddad, lite beroende på vad man skyddar och hur mycket besvär man är beredd på att genomlida för att få sitt jobb gjort.
 - Vill man vara helt säker - anslut inte datorn till Internet. Det är dock då och då lite praktiskt att ha den ansluten till nätet... har jag hört...

Så, man är i partitet med VNC och Teamviewer (bägge utmärkta system förövrigt) - och vill man ha det säkrare så är en tunnel inte särskilt komplicerad att sätta upp. NX är snabbt och smidigt och funkar bra för mina behov. Jag är dock inte deras presstalesman.

Men jag känner ändå att jag är säkrare när jag ansluter till min workstation, än när jag ansluter med iphonen till banken eller läser min gmail. Nivåer nivåer.

Bäste Rancor, om det inte är så att det är väldigt mycket söndag i huvudet på mig, vilket är tänkbart, så stänger ovan private key det hål du pekar på?


mvh 

Ricard Nordberg

myITpartner 
Ricard Nordberg 
ricard at myitpartner.se 
www.myitpartner.se
Gjuterigatan 5 
652 21 Karlstad 

073 080 17 27 



Mail powered by Work2Go 

----- Ursprungligt meddelande ----- 
Från: "rancor" <therancor at gmail.com> 
Till: "Ubuntu Sverige" <ubuntu-se at lists.ubuntu.com> 
Kopia: "Ricard Nordberg" <ricard at myitpartner.se> 
Skickat: söndag, 10 apr 2011 20:29:58 
Ämne: Re: fjärrskrivbord 

Ops, nej, alltså. Jag gjorde ett syftningsfel. Jag menar inte "klartext" som att man kan läsa det utan "tunnlat" lösenord. Självklart är allt som skickas via klienten och servern krypterat och lösenordet går inte att sniffa. 

Problemet är att ens tillåta lösenord för dem är relativt lätta att knäcka mot ett certifikat som har en nycklängd med 1024 eller fler bitar mot ett vanligt lösenord som i bästa fall har 8 tecken där man normalt kan plocka bort mängder med kombinationer då ett vanligt lösenord inte använder hela teckentabellen utan bara a-ö, A-Ö, 0-9 samt de vanliga tecken om återfinns på tangentbordet. 

För att NX skall fungera så måste man tillåta inloggning med lösenord, alltså följande rad i sshd_config måste se ut som följer: 


# Change to no to disable tunnelled clear text passwords 
PasswordAuthentication yes 

Detta är alltså inte förenat med god säkerhet och ett stort problem gällande denna produkt. Lösenord är inte på långa vägar lika säkert som ett certifikat och MX faller med detta. 

// rancor 

Den 10 april 2011 17:27 skrev Ricard Nordberg < ricard at myitpartner.se >: 
> 
> Jag skall redan i morgon "sniffa" för att kolla om du har rätt, det vore i så fall lite chockartat. 
> 
> NX använder ju som sagt var SSH och att få den att ta emot klartextlösen går ju men varför i all världen skulle man vilja det - och det skulle ju göra NoMachines till de klantigaste på marknaden. 
> 
> Men jag har faktiskt inte testat utan utgått från att de faktiskt vet vad de sysslar med. 
> Assumption is the mother of all you-know-what - så jag ämnar dubbelkolla. 
> 
> Vanliga X och att köra X rakt ut på nätet innebär absolut det du talar om, det är protokoll från en helt annan tid. 
> 
> 
> 
> mvh 
> 
> Ricard 
> 
> myITpartner 
> www.myitpartner.se 
> Ricard Nordberg 
> ricard at myitpartner.se 
> Gjuterigatan 5 
> 652 21 Karlstad 
> 
> 073 080 17 27 
> 
> 
> 
> Mail powered by Work2Go 
> 
> ----- Ursprungligt meddelande ----- 
> Från: "rancor" < therancor at gmail.com > 
> Till: "Ubuntu Sverige" < ubuntu-se at lists.ubuntu.com > 
> Skickat: söndag, 10 apr 2011 16:55:42 
> Ämne: Re: fjärrskrivbord 
> 
> 
> 
> 
> NX är bra inom ett LAN eller om man kör den via ett VPN men direkt på Internet är det inte så bra. Anledningen är att man måste tillåta lösenord som klartext och man kan därför inte kräva certifikat. Man blir lättare sårbar för brute force-attacker och det blir mycket mer komplicerat att få en bra nivå av säkerhet på sin maskin. 
> 
> // rancor 
> Den 10 apr 2011 15.09 skrev "Ricard Nordberg" < ricard at myitpartner.se >: 
>> Hej, 
>> 
>> Även jag gillar Teamviewer även om portningen bär rätt tydliga spår av Windows/wine. De kanske bättrar sig... 
>> 
>> 
>> Ett alternativ som absolut är värt att ta en titt på är NXclient hos http://www.nomachine.com/index.php 
>> Den tunnlar X över ssh och gör det riktigt riktigt bra - det går blixtsnabbt och med rätt nivå på säkerheten. 
>> Installationen är närapå hur smidig som helst. Finns givetvis en gratis version för små installationer. 
>> 
>> 
>> mvh Ricard Nordberg 
>> 
>> myITpartner 
>> Ricard Nordberg 
>> ricard at myitpartner.se 
>> Gjuterigatan 5 
>> 652 21 Karlstad 
>> 
>> 
> 
> -- 
> ubuntu-se mailing list 
> ubuntu-se at lists.ubuntu.com 
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se 
> 
> -- 
> ubuntu-se mailing list 
> ubuntu-se at lists.ubuntu.com 
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se 
>

More information about the ubuntu-se mailing list