home *** CD-ROM | disk | FTP | other *** search
/ linuxmafia.com 2016 / linuxmafia.com.tar / linuxmafia.com / pub / linux / security / berferd < prev    next >
Encoding:
Text File  |  1998-08-26  |  10.7 KB  |  213 lines
  1. I appreciate the large number of replies and suggestions on this
  2. thread, and ought to reply.
  3.  
  4. First, two clarifications:  (1) "hugin" is no longer Red Hat-based:
  5. I rebuilt it from the ground up, on Debian 2.0, with shadow passwords
  6. and xinetd.  (I'll hold comments about the new Debian until later.)  
  7. I immediately disabled all "r" commands and all other services in 
  8. xinetd.conf except for telnet and ftp, changed all passwords, and
  9. have not yet issued the new ones to my users.  I also have not yet used 
  10. incoming telnet and ftp (except anonymous), pending my securing them
  11. against sniffing (or finding satisfactory substitutes).
  12.  
  13. I've installed Qualcomm qpopper (POP3/APOP), imapd, and poppassd,
  14. but likewise haven't yet used them or added them to xinetd.conf.
  15. I've also taken out just about all the stock CGI, though I haven't
  16. seriously worked on Apache (1.3.0) yet.
  17.  
  18. Since I knew precisely what Berferd had done, and had checksums of
  19. all original files, I didn't _have_ to rebuild, but had independent
  20. reasons to do so.
  21.  
  22. (2) The "problem" I posed to the list was securing incoming shell access, 
  23. and incoming ftp/POP for my shell users (against neighbour machines on
  24. my LAN running TCP sniffers _without driving my users crazy_ (emphasis 
  25. added).  "Securing" in this context means ensuring that no plaintext
  26. passwords useful for break-in can be sniffed.  (Only shell users' 
  27. passwords are particularly useful for break-in, so non-login users' 
  28. passwords aren't an issue, here.)
  29.  
  30. Many of these folks (my users) are clueless Windows/Mac people.  I can't 
  31. tell them all to get ssh/scp.  I do not intend to kick them off.  At 
  32. the same time, I have a frequent need for remote access to my machine
  33. from places that lack anything but generic Windows software facilities,
  34. and I cannot change this.
  35.  
  36. Given the variety of "target" machines at 744 Harrison (mine, Electric
  37. Lichen's, Richard Couture's, The CoffeeNet's, and San Francisco PC Users
  38. Group's), all on the same LAN, it's safest to assume that any of them
  39. might become root-compromised and running a sniffer.  Thus the "problem"
  40. I posed.  "Firewalls" (a vague term that includes filtering routers
  41. and a variety of different types of proxy gateways) are not an option,
  42. for reasons I won't go into.
  43.  
  44. I envision three phases of protection (or of security breakdown, depending
  45. on your perspective) against LAN-based attack:  (1) The cracker must get
  46. one of your user's passwords, either by sniffing on the LAN, social
  47. engineering, or trying a cracked password the user employed on some other
  48. compromised machine (i.e., your user commits the common error of using the
  49. same password on multiple systems).  (2) Once logged in as your user,
  50. the cracker must gain root, using one of a variety of root exploits, or 
  51. sometimes by running crack against /etc/passwd.  (Note that I now run
  52. shadowed passwords.)  (3) You, the sysadmin, have to not detect the prior
  53. two steps & correct them.
  54.  
  55. The "problem" I posed concerned step #1, getting one of your user passwords.
  56. Prevent that, and you've stopped TCP-sniffing attacks, entirely.  (Yes,
  57. I'm aware that there are other caregories.)  Step #2 I've partially 
  58. addressed by having as few security-sensitive binaries, this time around,
  59. as possible.  For example, hugin has no X servers/utils.  (It runs 
  60. headless at the moment, so that's not a problem for me.)  Step #3 I
  61. address by _immediately_ doing "cd / ; find -ls > /root/INSTALLED_FILES",
  62. plus lists of all suid/sgid-root files, and store them offline for later
  63. use in validating files.  Please note that this means I don't have to
  64. rely on RPM/dpkg/etc. to validate files -- _and_ can spot new suid/sgid
  65. files that would not be detected by package managers at all.
  66.  
  67. Yes, I know about tripwire, COPS, SATAN, chkexploits, tiger, etc.  Those 
  68. are available _on_ hugin, in the ftp tree -- by the way.  The idea of
  69. a "security auditing" machine has been kicked around *ix people for some
  70. time:  The machine has no LAN connections, accepts log/auditing information 
  71. on one serial port, and sends out warnings on another.  Difficult to
  72. compromise -- very hardened.  Another idea that I _love_ is putting
  73. static parts of the filesystem (including /etc.) on a SCSI drive whose
  74. write-protect jumper is wired to the (now-useless) front-panel "turbo"
  75. switch.  Mount the drive read-write, but frob the button to render the
  76. drive non-writable.  Thereafter, you can temporarily make it writable
  77. using the switch, do an edit as root, and then switch it back -- no
  78. rebooting.
  79.  
  80. Problem #1 can also be address through hardware -- switching hubs, which
  81. localise traffic.  One such is the 8-port, 10/100 Mbps NetGear FS508.
  82. Suggested retail is $1,650 for the 8-port version.
  83.  
  84. Rafael:  I'm surprised that _you're_ surprised about The CoffeeNet's
  85. LAN getting compromised.  Think about the physical situation, and you'll
  86. see that there's an inherent security problem.
  87.  
  88. Let's discuss each of the three problematic services (that by default
  89. use plaintext passwords) separately:
  90.  
  91. 1.  REMOTE LOGIN:
  92.  
  93. S/Key rules.  I think I'll install it and mandate its use, before handing
  94. users their new passwords.  (Thank you, Mark.)  My clueless users will 
  95. bleat in dismay over having to use sheets of one-time passwords, but 
  96. they'll get over it.  (I'll have to find it, somewhere.)
  97.  
  98. SSH 1.2.26 rules, too.  I just now got sshd going, which is a tremendous
  99. relief, because I can finally answer mail in an xterm again.  (Yay!)
  100.  
  101. I _tried_ to put in ssh 2.0.8.  Misery:  Used the 1.x ssh client at The 
  102. CoffeeNet, and got "no compatible protocols".  Rumour has it that the
  103. free *ix package omits IDEA, Blowfish, and RSA.  That sucketh.  Further 
  104. rumours talk about open-source alternatives that sound extremely unfinished.
  105. I think I'll wait for the dust to settle, before trying again.
  106.  
  107. I will get a hold of the SecureCRT trial Win32 client, and the free client
  108. from http://www.doc.ic.ac.uk/~ci2/ssh/, and check them out.  If necessary,
  109. I'll shell out for the one from DataFellows.  My users can either follow
  110. suit or start learning to love S/KEY.  ;->
  111.  
  112. ssh-agent, by the way (included with ssh) is very handy for top security,
  113. as it prevents having to write security-sensitive data on the client
  114. hard drive.  It keeps all such data in RAM, only, rather than stupidly
  115. putting them in an .ssh directory.  This drastically reduces the 
  116. monitoring risk, even if you ssh into your machine from a compromised
  117. host.  I'm guessing that the only 'Doze client with even a prayer of
  118. having such functionality is the DataFellows one.
  119.  
  120. Marc:  The reason I plan to set non-login users' default shells to
  121. /usr/bin/passwd instead of omitting a shell entirely is that I
  122. consider that binary trustworthy, and it's useful to allow such
  123. users to change their passwords by just telnetting in.
  124.  
  125.  
  126. 2.  FILE ACCESS (ftp):
  127.  
  128. Again, I'm reluctant to turn off non-anonymous ftp entirely and tell users 
  129. to get ssh/scp.  (I'm tempted.)  I'm tempted to even advise them to
  130. file-attach their files to e-mail, instead of ftp-ing them in.  Non-anon
  131. ftp is evil, but it's really tough to eliminate.
  132.  
  133. There's scp.  There's rsync -- which, by the way, you can modify (in the
  134. Makefile) to use ssh instead of r-commands.  The new sshd 2.x includes 
  135. something called "sftpd" -- but I'm staying away from 2.x, for now.
  136.  
  137. Dave Zarzycki asks:  "What's wrong with scp?"  For _me_, not much -- 
  138. assuming I have a compatible client with me at the Windows-weenie sites 
  139. I often need to get my files to.  Somewhat deficient on user amenities,
  140. e.g., you need an ssh window open, too, to see "ls" listings.  However,
  141. the big problem is my other users.  They need to ftp files in.
  142.  
  143. For similar reasons, I cannot ssh-encrypt the ftp command channel.
  144.  
  145. Mark Willey reminded me that S/KEY can be retrofitted to one's ftpd, too.
  146. Thank you once more, Mark.  I may do that.
  147.  
  148. The academe betas of wu-ftpd, which I run, are very full-featured, which
  149. is why they've been the subject of so many attacks (along with their
  150. ubiquity).  I can deal with that by keeping up with new releases.  
  151. Among the nice features is the ability to confine users to a specified
  152. chroot environment.  I will consider doing that along with S/KEY.
  153.  
  154. God, I hope I don't have to do a lot of source-code work to accomplish
  155. that:  It's tough enough contending with an unfamiliar distribution 
  156. plus shadow passwords, plus xinetd for the first time, plus BIND 8.x
  157. for the first time.  I have _enough_ to get used to.
  158.  
  159. Marc:  It's not necessary to recompile wu-ftpd to disallow non-anon
  160. ftp access.  You can do this in /etc/ftp-access.
  161.  
  162. 3.  POP3/APOP/IMAP
  163.  
  164. You know, if I'm able to secure telnet and ftp using S/KEY challenges,
  165. I probably won't have to worry about this one.
  166.  
  167. The reason why I don't do POP over SSH should be obvious from the 
  168. foregoing:  I can't impose it on unsophisticated users.  I _would_
  169. like to find out how to mandate APOP, though.  No idea yet how to
  170. manage the apop database -- haven't had time, yet.  Marc:  My 
  171. understanding is that almost all current POP clients _do_ now support
  172. APOP.  I'm willing to exclude those that don't.
  173.  
  174.  
  175. MISCELLANY:
  176.  
  177. Jonathan:  Debian uses an /etc/pam.d directory, rather than /etc/pam.conf.
  178. By default, it contains just an "other" file, with contents I don't yet
  179. understand.  Note that "r" commands are disabled on my system.  However,
  180. I'm tempted to modify adduser to put root-owned, non-writable, zero-length
  181. .rhosts and .shosts files in user home directories, just in case -- and
  182. audit them frequently.
  183.  
  184. Mark:  Debian 2.0 doesn't appear to come with proper nightly 
  185. security-auditing reports to the root user.  <grumble>  I may have 
  186. to set one up.  I've gotten spoiled by FreeBSD, which does it right.
  187.  
  188. I'll allow myself one additional comment on Debian 2.0 directly:  It
  189. ships with Sendmail 8.8.8 (which is OK) -- with default open SMTP 
  190. relaying: an act of negligence in this day and age.  Bad, bad, bad.
  191. (Yes, I know Debian wants you to use smail, but that's beside the
  192. point.)  The current version is 8.9.1 plus a security patch to
  193. prune excessively long MIME headers that could be used to attack
  194. mail clients (MUAs).
  195.  
  196. One more:  dselect's dependency-checking browbeat me into installing
  197. a bunch of X11 libs, for packages that (if I recall correctly) needed
  198. either X _or_ S-Lang.   As mentioned, I was carefully avoiding 
  199. installing X servers or utilities.  This came back to haunt me, today,
  200. when I compiled ssh:  Autoconf detected the X11 libs, concluded that
  201. mine must be an X-supporting system, and then choked and died when
  202. it failed to find xauth.  (I cured this by renaming the /usr/X11R6/lib
  203. directory.)
  204.  
  205. dselect and I have not tended to get along terribly well.  This last
  206. installation was no exception.  I could say more, but that would be
  207. at the expense of focus, so I won't.
  208.  
  209. -- 
  210. Cheers,
  211. Rick Moen                      "vi is my shepherd; I shall not font."
  212. rick (at) hugin.imat.com                          -- Psalm 0.1 beta
  213.