Rancor, Jag tror jag var inne på de problemen du pekar på, anledningen till _att_ jag har skydd och inte har maskinen öppen är just för (jag skrev bara spam men... visst) det finns ytterligare faror på nätet. Och, om andra som läser detta har fått intrycket att jag tycker man skall vara slapp i sin attityd mot säkerhet så vill jag raskt dementera. Jag tycker man skall göra mogen bedömning, eller låta någon som kan göra en mogen bedömning om de hot som föreligger.
Jag har följt denna guide : http://www.nomachine.com/ar/view.php?ar_id=AR01C00126 Och använder samma key för att säkra upp min ssh-server, det möjliggör : PasswordAuthentication no http://wiki.centos.org/HowTos/FreeNX Ovan beskriver ännu mer detaljerat. Alltså inget namn och lösen (som gör att det är rock 'n roll om man stjäl min dator hemma) Men heller inte de problem du pekar på. Det kanske är fel och det finns bättre sätt att göra saker - jag har ingen prestige eller något att bevisa - och kan lätt böja mig om jag har fel - det finns mycket kunnigare människor än mig på området, du kanske är en av dem. Jag är förresten bara ignorant om säkerhet, eller okunnig för att vara folklig, på fredagar efter tredje gin o tonic'en. :-) my IT partner Ricard Nordberg ric...@myitpartner.se Gjuterigatan 5 652 21 Karlstad Mail powered by Work2Go ----- Ursprungligt meddelande ----- Från: "rancor" <theran...@gmail.com> Till: Kopia: "Ricard Nordberg" <ric...@myitpartner.se> Skickat: söndag, 10 apr 2011 22:01:08 Ämne: Re: fjärrskrivbord Är inte säker på vilket certifikat som du syftar på, alltså det du har till din SSH-server eller till NX. För att ansluta till NX har du två val, antingen använder du defaultcertifikatet eller ett som man själv utfärdar, varför man inte använder default hoppas jag inte behöva förklara. Hur som helst så skyddar detta certifikat bara själva NX men inte SSH-servern i sig vilken fortfarande är öppen. Testa själv att använda SSH mot din maskin med samma användarnamn och lösenord som du använder till NX, du kommer rätt in med dina behörigheter utan något som helst certifikat. Du kan alltså inte använda NX utan att ta bort kravet på att använda certifikat på din SSH-server, att du sedan har certifikat för att använda NX är en helt annan sak, men som sagt, man kan fortfarande ansluta med användarnamn och lösenord till din SSH-server. Du gör också ett felaktigt antagande att du och din information är ointressant och därför inte värd att skydda på ett tillräckligt säkert sätt, samma ignorans som gör att vi har dessa enorma botnets där ute. De flesta som utsätts för intrång idag är inte på grund av informationen i datorn utan för att den utgör en komponent till en mycket större maskin och all datorkraft, lagringskapacitet och internetaccess som går att få tag på är intressant för dem som handlar med att sälja kapacitet. Du kan också vara intressant att t.ex. vara värd för barnporr eller liknande vilket kriminella inte gärna har på egna servrar. // rancor Den 10 april 2011 21:33 skrev Ricard Nordberg < ric...@myitpartner.se > : Hej, Jag använder en private key, DSA om man så vill, och inte ett långt 8 tecken lösenord. Det är nu inte så värst komplicerat, och NX har enkelt stöd för det. Såklart. Såklart att man kan brutalt forcera ett lösenord, särskilt en 8 teckens lösen av sorten "dont4get" men redan vid "D0nT4g8t" tar det betydligt längre tid - tid som kan användas av en administratör som kanske även ställt in listiga saker som max antal försök innan spärr, gjort ett litet script som meddelar admin om vad som är på gång osv osv osv. Ja, inget av detta är ju något nytt. Det finns ju en del saker man kan göra på serversidan, begränsa vilka ip som får ansluta, vilka tider som får anslutas och tusen andra små saker. Samt en magisk sak som jag verkligen skulle rekommendera till alla som inte känner till det: Läs loggfilen. Till detta kommer naturligtvis diskussionen om det relativa begreppet "tillräcklig säkerhet" - vad är det för maskin man fjärrstyr? Jag fjärrstyr t.ex min desktop på kontoret hemifrån. Hur ser hotbilden ut egentligen? Är det riktiga "hackers" som lika gärna kan göra ett inbrott eller är det scriptkids man har som opposition? Så i mitt fall då.. Om jag utan lösenord skulle sätta upp min ws brevid statyn Sola här i Karlstad upplåst skulle jag ändå inte bli av med något särskilt viktigt. Vi har inte problemet att folk läser våra dokument utan att de inte gör det. Jag skyddar mig för att ingen skall använda min dator till spam eller ovan brute force. Samt för att komma åt skrivaren på kontoret även om jag är på fältet. Har man andra behov får man ju anpassa sig till det. Klart man lägger säkerhetsnivån i paritet med vad som skall skyddas. Gör man ovan skulle jag säga att man är "tillräcklig" skyddad, lite beroende på vad man skyddar och hur mycket besvär man är beredd på att genomlida för att få sitt jobb gjort. - Vill man vara helt säker - anslut inte datorn till Internet. Det är dock då och då lite praktiskt att ha den ansluten till nätet... har jag hört... Så, man är i partitet med VNC och Teamviewer (bägge utmärkta system förövrigt) - och vill man ha det säkrare så är en tunnel inte särskilt komplicerad att sätta upp. NX är snabbt och smidigt och funkar bra för mina behov. Jag är dock inte deras presstalesman. Men jag känner ändå att jag är säkrare när jag ansluter till min workstation, än när jag ansluter med iphonen till banken eller läser min gmail. Nivåer nivåer. Bäste Rancor, om det inte är så att det är väldigt mycket söndag i huvudet på mig, vilket är tänkbart, så stänger ovan private key det hål du pekar på? mvh Ricard Nordberg myITpartner Ricard Nordberg ric...@myitpartner.se www.myitpartner.se Gjuterigatan 5 652 21 Karlstad 073 080 17 27 Mail powered by Work2Go ----- Ursprungligt meddelande ----- Från: "rancor" < theran...@gmail.com > Till: "Ubuntu Sverige" < ubuntu-se@lists.ubuntu.com > Kopia: "Ricard Nordberg" < ric...@myitpartner.se > Skickat: söndag, 10 apr 2011 20:29:58 Ämne: Re: fjärrskrivbord Ops, nej, alltså. Jag gjorde ett syftningsfel. Jag menar inte "klartext" som att man kan läsa det utan "tunnlat" lösenord. Självklart är allt som skickas via klienten och servern krypterat och lösenordet går inte att sniffa. Problemet är att ens tillåta lösenord för dem är relativt lätta att knäcka mot ett certifikat som har en nycklängd med 1024 eller fler bitar mot ett vanligt lösenord som i bästa fall har 8 tecken där man normalt kan plocka bort mängder med kombinationer då ett vanligt lösenord inte använder hela teckentabellen utan bara a-ö, A-Ö, 0-9 samt de vanliga tecken om återfinns på tangentbordet. För att NX skall fungera så måste man tillåta inloggning med lösenord, alltså följande rad i sshd_config måste se ut som följer: # Change to no to disable tunnelled clear text passwords PasswordAuthentication yes Detta är alltså inte förenat med god säkerhet och ett stort problem gällande denna produkt. Lösenord är inte på långa vägar lika säkert som ett certifikat och MX faller med detta. // rancor Den 10 april 2011 17:27 skrev Ricard Nordberg < ric...@myitpartner.se >: > > Jag skall redan i morgon "sniffa" för att kolla om du har rätt, det vore i så > fall lite chockartat. > > NX använder ju som sagt var SSH och att få den att ta emot klartextlösen går > ju men varför i all världen skulle man vilja det - och det skulle ju göra > NoMachines till de klantigaste på marknaden. > > Men jag har faktiskt inte testat utan utgått från att de faktiskt vet vad de > sysslar med. > Assumption is the mother of all you-know-what - så jag ämnar dubbelkolla. > > Vanliga X och att köra X rakt ut på nätet innebär absolut det du talar om, > det är protokoll från en helt annan tid. > > > > mvh > > Ricard > > myITpartner > www.myitpartner.se > Ricard Nordberg > ric...@myitpartner.se > Gjuterigatan 5 > 652 21 Karlstad > > 073 080 17 27 > > > > Mail powered by Work2Go > > ----- Ursprungligt meddelande ----- > Från: "rancor" < theran...@gmail.com > > Till: "Ubuntu Sverige" < ubuntu-se@lists.ubuntu.com > > Skickat: söndag, 10 apr 2011 16:55:42 > Ämne: Re: fjärrskrivbord > > > > > NX är bra inom ett LAN eller om man kör den via ett VPN men direkt på > Internet är det inte så bra. Anledningen är att man måste tillåta lösenord > som klartext och man kan därför inte kräva certifikat. Man blir lättare > sårbar för brute force-attacker och det blir mycket mer komplicerat att få en > bra nivå av säkerhet på sin maskin. > > // rancor > Den 10 apr 2011 15.09 skrev "Ricard Nordberg" < ric...@myitpartner.se >: >> Hej, >> >> Även jag gillar Teamviewer även om portningen bär rätt tydliga spår av >> Windows/wine. De kanske bättrar sig... >> >> >> Ett alternativ som absolut är värt att ta en titt på är NXclient hos >> http://www.nomachine.com/index.php >> Den tunnlar X över ssh och gör det riktigt riktigt bra - det går blixtsnabbt >> och med rätt nivå på säkerheten. >> Installationen är närapå hur smidig som helst. Finns givetvis en gratis >> version för små installationer. >> >> >> mvh Ricard Nordberg >> >> myITpartner >> Ricard Nordberg >> ric...@myitpartner.se >> Gjuterigatan 5 >> 652 21 Karlstad >> >> > > -- > ubuntu-se mailing list > ubuntu-se@lists.ubuntu.com > https://lists.ubuntu.com/mailman/listinfo/ubuntu-se > > -- > ubuntu-se mailing list > ubuntu-se@lists.ubuntu.com > https://lists.ubuntu.com/mailman/listinfo/ubuntu-se > -- ubuntu-se mailing list ubuntu-se@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-se -- ubuntu-se mailing list ubuntu-se@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-se
