Ranjiv loše konfiguran sftp

SSH je servis bez kojeg je nezamisliv radni dan svakog sistemca. Secure FTP dio je istog paketa, omogućava siguran/kriptiran prijenos datoteka. Implementira se na dva načina, kao sftp-server, ili kao in-process server koji ne zahtijeva dodatnu podršku kada se koristi s ChrootDirectory.

Ovako bi nekako trebala izgledati konfiguracija:

Subsystem sftp internal-sftp
Match Group sftp
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no

Ako korisnike treba pustiti nekamo izvan njihova direktorija, zadajemo to ovako:

Subsystem sftp internal-sftp -d /var/www

Dodatna zaštita može se postići parametrom -R koji korisnicima daje samo read only prava, kako ne bi mogli mijenjati sadržaj direktorija u koji su usmjereni.

Ako administrator zaboravi konfigurirati chroot, omogućio je korisnicima pristup cijelom filesystemu, pa i /proc direktoriju, što se može zloupotrebljavati za različite maštovite napade.

Postoje grafički klijenti koji omogućavaju prijenos datoteka klikanjem, bez zadavanja naredbi na komandnoj liniji. Time je i širem krugu korisnika omogućen pristup dijelovima datotečnog sustava u koje ne bi smjeli zalaziti.

Objavljen je i kod za proof-of-concept, pa se radoznalci mogu poigrati s njime. Time je opasnost još veća. Ranjive su verzije OpenSSH <= 6.6, pa preporučujemo da odmah provjerite konfiguraciju i što prije instalirate OpenSSH 6.7, u kojem je greška ispravljena.

čet, 2014-10-09 11:34 - Aco Dmitrović
Vijesti: 
Sigurnosni propusti
Kategorije: 
Servisi
Vote: 
4
Vaša ocjena: Nema Average: 4 (1 vote)

Komentari

Probao sam dodati ove retke

 

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsistem sftp internal-sftp
Match Group sftp
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no

Nakon toga imam

/etc/init.d/ssh restart
/etc/ssh/sshd_config: line 77: Bad configuration option: Subsistem
/etc/ssh/sshd_config line 92: Directive 'UsePAM' is not allowed within a Match block

 

Može li više detalja ?

Inače kod mene ni ne postoji sftp grupa na sistemu u jednoj uputi se spominje grupa sftponly. Zbilja probao sam se šetati po filesystemu i to mi se uopće ne sviđa..zar openssh-cn paket takve stvari ne konfigurira ?

I ne pronalazim se u ovim verzijama paketa koje spominješ, na updejtanom Debian Wheezy Carnet stroju imam

dpkg -l | grep openssh
ii  openssh-blacklist                    0.4.1+nmu1                    all          list of default blacklisted OpenSSH RSA and DSA keys
ii  openssh-blacklist-extra              0.4.1+nmu1                    all          list of non-default blacklisted OpenSSH RSA and DSA keys
ii  openssh-client                       1:6.0p1-4+deb7u2              amd64        secure shell (SSH) client, for secure access to remote machines
ii  openssh-cn                           2:6.0p1.1                     all          secure shell server, an rshd replacement
ii  openssh-server                       1:6.0p1-4+deb7u2              amd64

 

Goran Šljivić - pet, 2014-10-10 13:51

Imaš tip feler izgleda "Subsistem" umjesto "Subsystem" ali kad se i to uredi ima dalje problem

 

/etc/ssh/sshd_config line 92: Directive 'UsePAM' is not allowed within a Match block

Kad se dodani retci pobrišu, odkomentira

Subsystem sftp /usr/lib/openssh/sftp-server

ssh restart radi bez grešaka, još jedna stvar ssh  pristup korisniku  isto omogućava pristup dijelovima filesystema, jeli to dopušteno ili nedopušteno?

Goran Šljivić - pet, 2014-10-10 14:14