Re: fjärrskrivbord
rancor
therancor at gmail.com
Sön Apr 10 22:28:54 UTC 2011
Utvecklingen har gått framåt vilket är glädjande, guiden hos CentOS
beskriver bra hur man kan köra utan lösenord.
Med detta så är den stora nakdelen med NX borta :) tack för den, då har man
lärt sig något nytt även idag.
GT är gott för övrigt
// rancor
Den 10 apr 2011 23.21 skrev "Ricard Nordberg" <ricard at myitpartner.se>:
>
> Rancor,
> Jag tror jag var inne på de problemen du pekar på, anledningen till _att_
jag har skydd och inte har maskinen öppen är just för (jag skrev bara spam
men... visst) det finns ytterligare faror på nätet. Och, om andra som läser
detta har fått intrycket att jag tycker man skall vara slapp i sin attityd
mot säkerhet så vill jag raskt dementera. Jag tycker man skall göra mogen
bedömning, eller låta någon som kan göra en mogen bedömning om de hot som
föreligger.
>
> Jag har följt denna guide :
http://www.nomachine.com/ar/view.php?ar_id=AR01C00126
> Och använder samma key för att säkra upp min ssh-server, det möjliggör :
> PasswordAuthentication no
>
> http://wiki.centos.org/HowTos/FreeNX
> Ovan beskriver ännu mer detaljerat.
>
> Alltså inget namn och lösen (som gör att det är rock 'n roll om man stjäl
min dator hemma)
> Men heller inte de problem du pekar på.
>
> Det kanske är fel och det finns bättre sätt att göra saker - jag har ingen
prestige eller något att bevisa - och kan lätt böja mig om jag har fel - det
finns mycket kunnigare människor än mig på området, du kanske är en av dem.
>
> Jag är förresten bara ignorant om säkerhet, eller okunnig för att vara
folklig, på fredagar efter tredje gin o tonic'en. :-)
>
>
>
> my IT partner
> Ricard Nordberg
> ricard at myitpartner.se
> Gjuterigatan 5
> 652 21 Karlstad
>
>
> Mail powered by Work2Go
>
> ----- Ursprungligt meddelande -----
> Från: "rancor" <therancor at gmail.com>
> Till:
> Kopia: "Ricard Nordberg" <ricard at myitpartner.se>
> Skickat: söndag, 10 apr 2011 22:01:08
> Ämne: Re: fjärrskrivbord
>
> Är inte säker på vilket certifikat som du syftar på, alltså det du har
till din SSH-server eller till NX. För att ansluta till NX har du två val,
antingen använder du defaultcertifikatet eller ett som man själv utfärdar,
varför man inte använder default hoppas jag inte behöva förklara.
>
> Hur som helst så skyddar detta certifikat bara själva NX men inte
SSH-servern i sig vilken fortfarande är öppen. Testa själv att använda SSH
mot din maskin med samma användarnamn och lösenord som du använder till NX,
du kommer rätt in med dina behörigheter utan något som helst certifikat.
>
> Du kan alltså inte använda NX utan att ta bort kravet på att använda
certifikat på din SSH-server, att du sedan har certifikat för att använda NX
är en helt annan sak, men som sagt, man kan fortfarande ansluta med
användarnamn och lösenord till din SSH-server.
>
> Du gör också ett felaktigt antagande att du och din information är
ointressant och därför inte värd att skydda på ett tillräckligt säkert sätt,
samma ignorans som gör att vi har dessa enorma botnets där ute. De flesta
som utsätts för intrång idag är inte på grund av informationen i datorn utan
för att den utgör en komponent till en mycket större maskin och all
datorkraft, lagringskapacitet och internetaccess som går att få tag på är
intressant för dem som handlar med att sälja kapacitet. Du kan också vara
intressant att t.ex. vara värd för barnporr eller liknande vilket kriminella
inte gärna har på egna servrar.
>
> // rancor
>
>
>
>
> Den 10 april 2011 21:33 skrev Ricard Nordberg < ricard at myitpartner.se > :
>
>
>
>
> Hej,
>
> Jag använder en private key, DSA om man så vill, och inte ett långt 8
tecken lösenord.
> Det är nu inte så värst komplicerat, och NX har enkelt stöd för det.
> Såklart.
>
> Såklart att man kan brutalt forcera ett lösenord, särskilt en 8 teckens
lösen av sorten "dont4get" men redan vid "D0nT4g8t" tar det betydligt längre
tid - tid som kan användas av en administratör som kanske även ställt in
listiga saker som max antal försök innan spärr, gjort ett litet script som
meddelar admin om vad som är på gång osv osv osv. Ja, inget av detta är ju
något nytt.
>
> Det finns ju en del saker man kan göra på serversidan, begränsa vilka ip
som får ansluta, vilka tider som får anslutas och tusen andra små saker.
Samt en magisk sak som jag verkligen skulle rekommendera till alla som inte
känner till det: Läs loggfilen.
>
> Till detta kommer naturligtvis diskussionen om det relativa begreppet
"tillräcklig säkerhet" - vad är det för maskin man fjärrstyr? Jag fjärrstyr
t.ex min desktop på kontoret hemifrån.
> Hur ser hotbilden ut egentligen? Är det riktiga "hackers" som lika gärna
kan göra ett inbrott eller är det scriptkids man har som opposition?
>
> Så i mitt fall då..
> Om jag utan lösenord skulle sätta upp min ws brevid statyn Sola här i
Karlstad upplåst skulle jag ändå inte bli av med något särskilt viktigt. Vi
har inte problemet att folk läser våra dokument utan att de inte gör det.
Jag skyddar mig för att ingen skall använda min dator till spam eller ovan
brute force. Samt för att komma åt skrivaren på kontoret även om jag är på
fältet.
> Har man andra behov får man ju anpassa sig till det.
>
> Klart man lägger säkerhetsnivån i paritet med vad som skall skyddas.
>
> Gör man ovan skulle jag säga att man är "tillräcklig" skyddad, lite
beroende på vad man skyddar och hur mycket besvär man är beredd på att
genomlida för att få sitt jobb gjort.
> - Vill man vara helt säker - anslut inte datorn till Internet. Det är dock
då och då lite praktiskt att ha den ansluten till nätet... har jag hört...
>
> Så, man är i partitet med VNC och Teamviewer (bägge utmärkta system
förövrigt) - och vill man ha det säkrare så är en tunnel inte särskilt
komplicerad att sätta upp. NX är snabbt och smidigt och funkar bra för mina
behov. Jag är dock inte deras presstalesman.
>
> Men jag känner ändå att jag är säkrare när jag ansluter till min
workstation, än när jag ansluter med iphonen till banken eller läser min
gmail. Nivåer nivåer.
>
> Bäste Rancor, om det inte är så att det är väldigt mycket söndag i huvudet
på mig, vilket är tänkbart, så stänger ovan private key det hål du pekar på?
>
>
>
> mvh
>
> Ricard Nordberg
>
> myITpartner
> Ricard Nordberg
> ricard at myitpartner.se
> www.myitpartner.se
>
> Gjuterigatan 5
> 652 21 Karlstad
>
> 073 080 17 27
>
>
>
> Mail powered by Work2Go
>
> ----- Ursprungligt meddelande -----
> Från: "rancor" < therancor at gmail.com >
> Till: "Ubuntu Sverige" < ubuntu-se at lists.ubuntu.com >
> Kopia: "Ricard Nordberg" < ricard at myitpartner.se >
> Skickat: söndag, 10 apr 2011 20:29:58
> Ämne: Re: fjärrskrivbord
>
>
>
>
> Ops, nej, alltså. Jag gjorde ett syftningsfel. Jag menar inte "klartext"
som att man kan läsa det utan "tunnlat" lösenord. Självklart är allt som
skickas via klienten och servern krypterat och lösenordet går inte att
sniffa.
>
> Problemet är att ens tillåta lösenord för dem är relativt lätta att knäcka
mot ett certifikat som har en nycklängd med 1024 eller fler bitar mot ett
vanligt lösenord som i bästa fall har 8 tecken där man normalt kan plocka
bort mängder med kombinationer då ett vanligt lösenord inte använder hela
teckentabellen utan bara a-ö, A-Ö, 0-9 samt de vanliga tecken om återfinns
på tangentbordet.
>
> För att NX skall fungera så måste man tillåta inloggning med lösenord,
alltså följande rad i sshd_config måste se ut som följer:
>
>
> # Change to no to disable tunnelled clear text passwords
> PasswordAuthentication yes
>
> Detta är alltså inte förenat med god säkerhet och ett stort problem
gällande denna produkt. Lösenord är inte på långa vägar lika säkert som ett
certifikat och MX faller med detta.
>
> // rancor
>
> Den 10 april 2011 17:27 skrev Ricard Nordberg < ricard at myitpartner.se >:
>>
>> Jag skall redan i morgon "sniffa" för att kolla om du har rätt, det vore
i så fall lite chockartat.
>>
>> NX använder ju som sagt var SSH och att få den att ta emot klartextlösen
går ju men varför i all världen skulle man vilja det - och det skulle ju
göra NoMachines till de klantigaste på marknaden.
>>
>> Men jag har faktiskt inte testat utan utgått från att de faktiskt vet vad
de sysslar med.
>> Assumption is the mother of all you-know-what - så jag ämnar dubbelkolla.
>>
>> Vanliga X och att köra X rakt ut på nätet innebär absolut det du talar
om, det är protokoll från en helt annan tid.
>>
>>
>>
>> mvh
>>
>> Ricard
>>
>> myITpartner
>> www.myitpartner.se
>> Ricard Nordberg
>> ricard at myitpartner.se
>> Gjuterigatan 5
>> 652 21 Karlstad
>>
>> 073 080 17 27
>>
>>
>>
>> Mail powered by Work2Go
>>
>> ----- Ursprungligt meddelande -----
>> Från: "rancor" < therancor at gmail.com >
>> Till: "Ubuntu Sverige" < ubuntu-se at lists.ubuntu.com >
>> Skickat: söndag, 10 apr 2011 16:55:42
>> Ämne: Re: fjärrskrivbord
>>
>>
>>
>>
>> NX är bra inom ett LAN eller om man kör den via ett VPN men direkt på
Internet är det inte så bra. Anledningen är att man måste tillåta lösenord
som klartext och man kan därför inte kräva certifikat. Man blir lättare
sårbar för brute force-attacker och det blir mycket mer komplicerat att få
en bra nivå av säkerhet på sin maskin.
>>
>> // rancor
>> Den 10 apr 2011 15.09 skrev "Ricard Nordberg" < ricard at myitpartner.se >:
>>> Hej,
>>>
>>> Även jag gillar Teamviewer även om portningen bär rätt tydliga spår av
Windows/wine. De kanske bättrar sig...
>>>
>>>
>>> Ett alternativ som absolut är värt att ta en titt på är NXclient hos
http://www.nomachine.com/index.php
>>> Den tunnlar X över ssh och gör det riktigt riktigt bra - det går
blixtsnabbt och med rätt nivå på säkerheten.
>>> Installationen är närapå hur smidig som helst. Finns givetvis en gratis
version för små installationer.
>>>
>>>
>>> mvh Ricard Nordberg
>>>
>>> myITpartner
>>> Ricard Nordberg
>>> ricard at myitpartner.se
>>> Gjuterigatan 5
>>> 652 21 Karlstad
>>>
>>>
>>
>> --
>> ubuntu-se mailing list
>> ubuntu-se at lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
>>
>> --
>> ubuntu-se mailing list
>> ubuntu-se at lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
>>
>
> --
>
>
>
> ubuntu-se mailing list
> ubuntu-se at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
>
>
> --
> ubuntu-se mailing list
> ubuntu-se at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
-------------- next part --------------
En HTML-bilaga skiljdes ut...
URL: <https://lists.ubuntu.com/archives/ubuntu-se/attachments/20110411/f727015c/attachment-0001.html>
More information about the ubuntu-se
mailing list