Re: fjärrskrivbord

rancor therancor at gmail.com
Sön Apr 10 20:01:08 UTC 2011


Är inte säker på vilket certifikat som du syftar på, alltså det du har till
din SSH-server eller till NX. För att ansluta till NX har du två val,
antingen använder du defaultcertifikatet eller ett som man själv utfärdar,
varför man inte använder default hoppas jag inte behöva förklara.

Hur som helst så skyddar detta certifikat bara själva NX men inte
SSH-servern i sig vilken fortfarande är öppen. Testa själv att använda SSH
mot din maskin med samma användarnamn och lösenord som du använder till NX,
du kommer rätt in med dina behörigheter utan något som helst certifikat.

Du kan alltså inte använda NX utan att ta bort kravet på att använda
certifikat på din SSH-server, att du sedan har certifikat för att använda NX
är en helt annan sak, men som sagt, man kan fortfarande ansluta med
användarnamn och lösenord till din SSH-server.

Du gör också ett felaktigt antagande att du och din information är
ointressant och därför inte värd att skydda på ett tillräckligt säkert sätt,
samma ignorans som gör att vi har dessa enorma botnets där ute. De flesta
som utsätts för intrång idag är inte på grund av informationen i datorn utan
för att den utgör en komponent till en mycket större maskin och all
datorkraft, lagringskapacitet och internetaccess som går att få tag på är
intressant för dem som handlar med att sälja kapacitet. Du kan också vara
intressant att t.ex. vara värd för barnporr eller liknande vilket kriminella
inte gärna har på egna servrar.

// rancor



Den 10 april 2011 21:33 skrev Ricard Nordberg <ricard at myitpartner.se>:

>
>
> Hej,
>
> Jag använder en private key, DSA om man så vill, och inte ett långt 8
> tecken lösenord.
> Det är nu inte så värst komplicerat, och NX har enkelt stöd för det.
> Såklart.
>
> Såklart att man kan brutalt forcera ett lösenord, särskilt en 8 teckens
> lösen av sorten "dont4get" men redan vid "D0nT4g8t" tar det betydligt längre
> tid - tid som kan användas av en administratör som kanske även ställt in
> listiga saker som max antal försök innan spärr, gjort ett litet script som
> meddelar admin om vad som är på gång osv osv osv. Ja, inget av detta är ju
> något nytt.
>
> Det finns ju en del saker man kan göra på serversidan, begränsa vilka ip
> som får ansluta, vilka tider som får anslutas och tusen andra små saker.
> Samt en magisk sak som jag verkligen skulle rekommendera till alla som inte
> känner till det: Läs loggfilen.
>
> Till detta kommer naturligtvis diskussionen om det relativa begreppet
> "tillräcklig säkerhet" - vad är det för maskin man fjärrstyr? Jag fjärrstyr
> t.ex min desktop på kontoret hemifrån.
> Hur ser hotbilden ut egentligen? Är det riktiga "hackers" som lika gärna
> kan göra ett inbrott eller är det scriptkids man har som opposition?
>
> Så i mitt fall då..
> Om jag utan lösenord skulle sätta upp min ws brevid statyn Sola här i
> Karlstad upplåst skulle jag ändå inte bli av med något särskilt viktigt. Vi
> har inte problemet att folk läser våra dokument utan att de inte gör det.
> Jag skyddar mig för att ingen skall använda min dator till spam eller ovan
> brute force. Samt för att komma åt skrivaren på kontoret även om jag är på
> fältet.
> Har man andra behov får man ju anpassa sig till det.
>
> Klart man lägger säkerhetsnivån i paritet med vad som skall skyddas.
>
> Gör man ovan skulle jag säga att man är "tillräcklig" skyddad, lite
> beroende på vad man skyddar och hur mycket besvär man är beredd på att
> genomlida för att få sitt jobb gjort.
>  - Vill man vara helt säker - anslut inte datorn till Internet. Det är dock
> då och då lite praktiskt att ha den ansluten till nätet... har jag hört...
>
> Så, man är i partitet med VNC och Teamviewer (bägge utmärkta system
> förövrigt) - och vill man ha det säkrare så är en tunnel inte särskilt
> komplicerad att sätta upp. NX är snabbt och smidigt och funkar bra för mina
> behov. Jag är dock inte deras presstalesman.
>
> Men jag känner ändå att jag är säkrare när jag ansluter till min
> workstation, än när jag ansluter med iphonen till banken eller läser min
> gmail. Nivåer nivåer.
>
> Bäste Rancor, om det inte är så att det är väldigt mycket söndag i huvudet
> på mig, vilket är tänkbart, så stänger ovan private key det hål du pekar på?
>
>
> mvh
>
> Ricard Nordberg
>
> myITpartner
> Ricard Nordberg
> ricard at myitpartner.se
> www.myitpartner.se
> Gjuterigatan 5
> 652 21 Karlstad
>
> 073 080 17 27
>
>
>
> Mail powered by Work2Go
>
> ----- Ursprungligt meddelande -----
> Från: "rancor" <therancor at gmail.com>
> Till: "Ubuntu Sverige" <ubuntu-se at lists.ubuntu.com>
> Kopia: "Ricard Nordberg" <ricard at myitpartner.se>
> Skickat: söndag, 10 apr 2011 20:29:58
> Ämne: Re: fjärrskrivbord
>
> Ops, nej, alltså. Jag gjorde ett syftningsfel. Jag menar inte "klartext"
> som att man kan läsa det utan "tunnlat" lösenord. Självklart är allt som
> skickas via klienten och servern krypterat och lösenordet går inte att
> sniffa.
>
> Problemet är att ens tillåta lösenord för dem är relativt lätta att knäcka
> mot ett certifikat som har en nycklängd med 1024 eller fler bitar mot ett
> vanligt lösenord som i bästa fall har 8 tecken där man normalt kan plocka
> bort mängder med kombinationer då ett vanligt lösenord inte använder hela
> teckentabellen utan bara a-ö, A-Ö, 0-9 samt de vanliga tecken om återfinns
> på tangentbordet.
>
> För att NX skall fungera så måste man tillåta inloggning med lösenord,
> alltså följande rad i sshd_config måste se ut som följer:
>
>
> # Change to no to disable tunnelled clear text passwords
> PasswordAuthentication yes
>
> Detta är alltså inte förenat med god säkerhet och ett stort problem
> gällande denna produkt. Lösenord är inte på långa vägar lika säkert som ett
> certifikat och MX faller med detta.
>
> // rancor
>
> Den 10 april 2011 17:27 skrev Ricard Nordberg < ricard at myitpartner.se >:
> >
> > Jag skall redan i morgon "sniffa" för att kolla om du har rätt, det vore
> i så fall lite chockartat.
> >
> > NX använder ju som sagt var SSH och att få den att ta emot klartextlösen
> går ju men varför i all världen skulle man vilja det - och det skulle ju
> göra NoMachines till de klantigaste på marknaden.
> >
> > Men jag har faktiskt inte testat utan utgått från att de faktiskt vet vad
> de sysslar med.
> > Assumption is the mother of all you-know-what - så jag ämnar dubbelkolla.
> >
> > Vanliga X och att köra X rakt ut på nätet innebär absolut det du talar
> om, det är protokoll från en helt annan tid.
> >
> >
> >
> > mvh
> >
> > Ricard
> >
> > myITpartner
> > www.myitpartner.se
> > Ricard Nordberg
> > ricard at myitpartner.se
> > Gjuterigatan 5
> > 652 21 Karlstad
> >
> > 073 080 17 27
> >
> >
> >
> > Mail powered by Work2Go
> >
> > ----- Ursprungligt meddelande -----
> > Från: "rancor" < therancor at gmail.com >
> > Till: "Ubuntu Sverige" < ubuntu-se at lists.ubuntu.com >
> > Skickat: söndag, 10 apr 2011 16:55:42
> > Ämne: Re: fjärrskrivbord
> >
> >
> >
> >
> > NX är bra inom ett LAN eller om man kör den via ett VPN men direkt på
> Internet är det inte så bra. Anledningen är att man måste tillåta lösenord
> som klartext och man kan därför inte kräva certifikat. Man blir lättare
> sårbar för brute force-attacker och det blir mycket mer komplicerat att få
> en bra nivå av säkerhet på sin maskin.
> >
> > // rancor
> > Den 10 apr 2011 15.09 skrev "Ricard Nordberg" < ricard at myitpartner.se >:
> >> Hej,
> >>
> >> Även jag gillar Teamviewer även om portningen bär rätt tydliga spår av
> Windows/wine. De kanske bättrar sig...
> >>
> >>
> >> Ett alternativ som absolut är värt att ta en titt på är NXclient hos
> http://www.nomachine.com/index.php
> >> Den tunnlar X över ssh och gör det riktigt riktigt bra - det går
> blixtsnabbt och med rätt nivå på säkerheten.
> >> Installationen är närapå hur smidig som helst. Finns givetvis en gratis
> version för små installationer.
> >>
> >>
> >> mvh Ricard Nordberg
> >>
> >> myITpartner
> >> Ricard Nordberg
> >> ricard at myitpartner.se
> >> Gjuterigatan 5
> >> 652 21 Karlstad
> >>
> >>
> >
> > --
> > ubuntu-se mailing list
> > ubuntu-se at lists.ubuntu.com
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
> >
> > --
> > ubuntu-se mailing list
> > ubuntu-se at lists.ubuntu.com
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
> >
>
> --
> ubuntu-se mailing list
> ubuntu-se at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
>
-------------- next part --------------
En HTML-bilaga skiljdes ut...
URL: <https://lists.ubuntu.com/archives/ubuntu-se/attachments/20110410/23f3bfe9/attachment-0001.html>


More information about the ubuntu-se mailing list