Linux 安全软件及SFTP自动化软件

sweetheart

本人近年来开发了一些Linux/UNIX用的安全及自动化软件包.
WZFileGuard: 是一种能有效检测由内部不良人员设置的安全陷阱及为良好的系统管理人员提供保护的安全软件. 适用于Linux/X64．
AutoSFTP: 能将密码先加密,然后在使用时内部解密,从而无须使用无密码的公开钥匙（ｐｕｂｌｉｃ　ｋｅｙ）或机器钥匙　（ｈｏｓｔ　ｋｅｙ）　以实现自动登陆进行文件传输．能有效抵抗系统调用跟踪, 及排错程序, 从而实现对密码的保护．适用于Linux/X64，　ＡＩＸ　５．ｘ／６．ｘ．
ssh_rundirect: 为特殊命令建立chroot jail. 可用于建立特殊用户帐号, 专用于ＳＦＴＰ，ＳＣＰ　等．　适用于Linux/X64，　ＡＩＸ　５．ｘ／６．ｘ．　Ｓolaris/Sparc/X86.
还有一些别的软件包.
这些软件主要适用于数据中心.
不知是否有人能帮忙推销一下. 不胜感激.

虚若无

支持LZ, 你可以试试在google上做广告

黑山老妖

问题是你这些软件基本上都能靠script来实现，如果是数据中心有自己的技术人员写点shell script都不是问题。
你的优势在哪里？

sweetheart

安全性是本人设计及开发此类软件的主要考量.
以AutoSFTP为例, 为防止特洛伊木马攻击, 在安装设置时, 公司安全保密部门人员须先用wzappkey(此乃本人多软件共用的产品安全密码管理软件)设置AutoSFTP安全管理密码, 然后使用软件包内所带的certificate生成程序对ssh/sftp 程序产生可验证的证书文件.
当AutoSFTP运行时, 它会首先检查机上所带之sftp是否可通过证书验证, 若通不过,则立即停止.
需要说明一点: 本人设计的证书验证系统是有密码保护的, 即使拥有root权限, 也无法随意修改证书文件内容, 也无法产生可用的证书文件.
所有这些安全功能是SHELL/Perl scripts无法做到的.
多年以前, 我在 tripod.com 设置了一个网页 http://wzce.tripod.com/. 由于忘了密码,已无法更新.
AutoSFTP 也有Solaris版本, 之所以未在之前的帖子列出是因为Solaris 10上的dtrace可以在客户端偷取登陆密码, 无论你用的是Telnet 还是 ssh, 也无论你用的是普通 password authentication还是passphrase/public key authentication. 以dtrace 现有的设计, 没有任何方法可躲过其偷窥. 所以ssh/sftp 在Solaris 10 上是没有口令保密可言的.
本人 AutoSSH之asshc 程序非常适用于有严格安全要求的多网络服务环境:  在这样一种环境中, 通常有多台服务器使用同样的机型, 同样的系统软件配置, 需要做同样的软件维护. asshc 会将所执行的命令记入日志文件, 供核算师核查.
CaclMgr: 一种SUDO的替代软件. 最大不同: CaclMgr让各用户自行管理权限赠与, 无须为此劳烦root; CaclMgr 支持非交互式使用; 提供最先进的环境变量控制; 无须更新整个软件便可将新识别的高危环境变量纳入控制; 一个命令便可查出谁获得了我的权限赠与, 可用哪些命令? 谁用了我的权限, 执行了什么命令, 在什么时候.

nali

Lz给大家演示一下如何通过dtrace 看ssh 密码

sweetheart

I personally think dtrace in its current form is a security threat, I'd expect Oracle/SUN to change the system design in future so that a program can make a request to block dtrace tracing when needed, otherwise a malicious person can run a dtrace script on the system and steal all users passwords, be it local or remote, that's very bad.

nali

http://www.solarisinternals.com/ ... ace_Topics_Security

有详细解释,不能算是泄漏密码.

nali

楼主有可能开源吗？或许放到sourceforge等网站上推广更快，我们也可以加入

dramaking

LZ，现在网络安全都是通过分离的独立网络设计+硬件防火墙+VPN来达成的，并不是靠SSH或者密码管理。
核心内容是运行在一个独立的网络里面的，从外界是无法access的，根本不需要SSH这样的问题，米见过那家
公司完全靠SSH来控制安全的。

LZ这些软件不是没有用途，而是用途比较狭小，并不是很大众的东西。

再说，如果要使用LZ的软件，就完全把公司的安全和密码寄托到LZ的软件上了，对于软件开发商本身的信用程度
要求极高，就像你家里用的杀毒软件，你不会用一个陌生人私人开发的防毒软件吧？

bulaohu

看了半天没看明白为啥LZ的SFTP比一般的更安全

飞飞鱼

不是很明白这样做的目的，讨论一下？
1.rsa的public key就是发布出去，你也无法用商用系统级别的机器破解，当然你有军方或者情报背景不在此列。
山东大学那个中国女教授确实发布了破解的论文，但到现在也还没有发现商用，民用级别的黑客实现了的。

2.如果你认为rsa的密级不够，可以用dsa key，也可以加上pass phrase

3.目前rsa和dsa满足商用系统的audit要求

4.发布出去的rsa/dsa key都在$home/.ssh/下，authorized_keys读写权限是600，其他人也看不到。

5.root不能改固然是更安全了，但说现实点，如果都拿到root了，谁还回去忙这个，很多更好玩的事情可以做了：）

6.chroot可以用别的更简单方法实现

7.CaclMgr听起来不错，CA的etrust在很多金融系统广泛使用，当然sudo其实够安全的了。

急着出门，回头再讨论，如果说错说漏的地方不要砸偶。

bulaohu

破解这个词需要定义清楚，一般人看到了就会以为是跟配了钥匙开锁一样解开了，而实际上，任何平均解密时间低于暴力破解的方法都被视为一种破解，而这有时候只是比暴力破解快了一点点而已。最近几天有人宣布了一个对AES的破解，经验证是有效的，但如果暴力破解需要5000年的话，用这个方法大概需要4000年，这样的破解，不用也罢。山大的那个是对hashing的破解，好像是把sha256的collision几率增大了1024倍还是啥的

[ 本帖最后由 bulaohu 于 2011-8-27 13:59 编辑 ]

飞飞鱼

oop，RSA破解那个我记混了。

仔细又看了遍，原来你是四个产品，WZFileGuard，AutoSFTP，ssh_rundirec，CaclMgr；还是不要混在一起说比较清楚，安全这块本来就比较绕。

CaclMgr：
你的介绍比较笼统，有没有技术语言的描述？
＃CaclMgr让各用户自行管理权限赠与, 无须为此劳烦root; CaclMgr 支持非交互式使用;
这点技术上是进步了，但在安全上是踩线了，通不过Audit；撇开复杂CA etrust不谈，以sudo为例，权限设置在用户层面通常是group授权的，无需单个用户设置；而且权限设置是具体到某一条指令；除了root，其他用户不能动sudoers。什么组授权执行什么具体指令都要经过Security部门批而且备案，否则通不过Audit的。

＃提供最先进的环境变量控制; 无须更新整个软件便可将新识别的高危环境变量纳入控制;
这点不明白具体说的是什么。

＃一个命令便可查出谁获得了我的权限赠与, 可用哪些命令? 谁用了我的权限, 执行了什么命令, 在什么时候.
sudo -l就可以列出权限；sudoers里的log选项必须是打开的，否则业通不过Audit，上述功能好像没有特别的地方。

飞飞鱼

还是看不清楚，你这些是不是在RSA，sudo上加了个壳啊？

而且你这个SFTP的思路有点意思，你认为RSA/DSA不够安全，所以你用自己的算法产生密码来代替，这个可能比较难被认可。RSA/DSA是安全标准，很难说服人你的密码反而更安全。Public Key发布出去在安全上并没有什么问题.

飞飞鱼

原帖由 dramaking 于 2011-8-27 00:22 发表
LZ，现在网络安全都是通过分离的独立网络设计+硬件防火墙+VPN来达成的，并不是靠SSH或者密码管理。
核心内容是运行在一个独立的网络里面的，从外界是无法access的，根本不需要SSH这样的问题，米见过那家
公司完全靠SSH来控制安 ...

你说的也对也不对。
安全是一个体系，即使是DMZ里也必须要按规矩来，不然通不过Audit。

不过确实有很多公司DMZ里甚至在用telnet，rsh，ftp；我刚就这个问题和一个客户扯了一个月的皮，他们坚持要在内网用Telnet，rsh，ftp，但要求我给他们解释这样的risk和可供选择的alternative。最后还是我写了一个很政治化的文件，他们的IT负责人签字overwrite掉了。我们这些吃技术饭的打工仔一定得把这些东西弄的很明白，这样才能保护到自己。在规则内游戏。规矩我给你写了，风险我给你评估了，代替方案我给你推荐了，最后你自己签字表示已经明白，独立承担风险。不然出事丢了饭碗，坏了名声，在行内也没得混了。

用户安全无小事，BHP刚刚fail了一个安全审计就fail在系统登录控制上，平时芝麻大的事，结果被罚了上百万刀。

bulaohu

原帖由 飞飞鱼 于 2011-8-27 16:02 发表


你说的也对也不对。
安全是一个体系，即使是DMZ里也必须要按规矩来，不然通不过Audit。

不过确实有很多公司DMZ里甚至在用telnet，rsh，ftp；我刚就这个问题和一个客户扯了一个月的皮，他们坚持要在内网用Telnet，rsh，ftp，但要求我 ...

原来是同行啊，以后请多来多交流。我们做安全的可是稀有动物来着

sweetheart

AutoSSH 和 AutoSFP 并非用以替换 SSH 及 SFTP, 而是加一层.
试想, 在没有AutoSSH/AutoSFTP的情况下, 要想做到自动登录另一台机器, 只能放弃passphrase的保护. 这样就有一个安全保密的问题: 任何人有机会拿到你的private key, 可将其复制到第三台机器, 然后就可从那台机器以你的private key自动登陆前诉主机.
可能天真的人会说: 我的private key只有我有读的权限, 当然root也能读, 但我们得充分信任root.
要知道银行内部主机所受到的攻击有大半以上是内部人员所为.

bulaohu

so you are protecting against root? really?

sweetheart

我见过多半美国的大银行的系统管理员用"sudo su"来从自己的帐号转入root. 本人并不赞同CaclMgr的用户也这么使用CaclMgr (cacl su), 但即使这样, CaclMgr 也会提供更好的日志: 在日志中, 你不仅能看到该用户是在什么时间开始执行该命令的, 你还应该看到该命令是何时结束的.
CaclMgr 用二个配置文件来控制环境变量及其值的传递: /etc/badenv.lst , /etc/goodenv.lst, 其格式类似于:
envname=envval
   command
   ...
envname=envval
  command
  ...

All items here can be in regular expression.
所以,　若系统管理员或安全员发现一个新的高危变量,　他可将其放入 badenv.lst or goodenv.lst, 并做出调整：若此变量仅对个别命令起不良作用,　应将其加入goodenv.lst, 然后再将会受不良影响的命令列于其后.
从这里你应可看出，碰到这种情况, 你必须等SUDO发布新的版本，而CaclMgr不仅无须做软件修改，其所提供的机制还为精密调整提供了可能.

sweetheart

yes, my software is trying to protect any people from attack originated from any other.

sweetheart

原帖由 bulaohu 于 2011-8-27 19:36 发表
so you are protecting against root? really?

My WZFileGuard is especially good for protecting good system admins from attack of bad system admin.

飞飞鱼

呵呵，大家多交流，安全这块还是蛮有意思的，我其实什么都做一点。

我觉得还是没有很大的意义，如果拿到root，就是我的水平都能做出更好玩的事情来，这个和天真不天真无关，再说我这样的应该算IT老油子了吧。

另外一点，那个复制private key的问题，target node的known_hosts是有记录source node的IP的，并不是简单的拿到了就能用的问题，还要求fake一个网址，这样出现duplicated IP，马上就会被发现。我没做过具体试验，但觉得除了IP应该还有其他级别的控制，known_hosts文件里IP地址后面跟着就是几十位的随机字符，应该有它的用处。

还有一点，这种能够远程ftp，scp，sftp到的case，通常都会有额外的限制。
比如最简单的，会把这个用户在target node的shell改成/usr/bin/false之类，只能ftp，sftp，无法登录；而且ftp，sftp到的目录也会做出限制，无法访问其他目录；等文件拷贝过去后再由本地的crontab脚本做进一步处理。

你说的内部攻击的问题，确实是这样的，但也没有那么夸张。
大概的说一下，root的remote login是一定要disable掉的；每个人都只能用自己的帐号登录，然后sudo或者etrust到root，然后所有的操作都会被log；这些log按照不同的审计要求会保存3个月，1年，到5年。

如果你非常紧张某些关键文件的完整性，可以用tripwire定期检查有无被修改，这些业内都有成熟产品。

飞飞鱼

银行用sudo比较奇怪，我知道的的银行和政府部门用的都是etrust或者更严格的东西。

至于log，通过修改.profile和sudoers完全可以实现；不过这里确实存在两个问题：
1.我抓到过不是很有经验的系统管理员没有禁止多重sudo，比如说就是sudo到root之后再sudo一次，这样一绕，log就很难读了；

2.对于脚本无法控制，有一些应用必须sudo到某一个用户来运行脚本，这个时候就可以在脚本里动很多手脚了，这个我还真没有想出解决方法。只能检查脚本后修改权限，让人无法把dodgy的东西加进去。

至于非要使用sudo，又不能限制指令，必须sudo到用户后完的，可以用sudosh，这个是业内的解决方案。

tripwire和sudosh在NAB的midrange有应用，也通过了审计。

sweetheart

原帖由 飞飞鱼 于 2011-8-27 20:12 发表
呵呵，大家多交流，安全这块还是蛮有意思的，我其实什么都做一点。

我觉得还是没有很大的意义，如果拿到root，就是我的水平都能做出更好玩的事情来，这个和天真不天真无关，再说我这样的应该算IT老油子了吧。

另外一点，那个复制pr ...

known_hosts only records hostname to host key mapping, nothing to do with user's private key!
I've be working on UNIX since 1984, of course know root can do many things, some people may say copy /dev/mem and then check the content in the memory, but be realistic, how many people would do that for just stealing a sftp password? And when you said you can do some funny things with root, with my WZFileGuard, your funny activity will be hard to hide.

sweetheart

etrust is very different: it is kernel based, has a wrapper around all system calls. I know some US banks are using pbrun, and most are using sudo for switching the privilege.
I worked as chief UNIX engineer in a Singapore Bank's IT department before, had worked together with data security department and audit department frequently to define security policies.

Few years ago, a department of Canadian government was evaluating pbrun and CaclMgr, asking me to send a representative to their place for a final round of comparison between the 2 products, but I didn't have any one could represent me, and myself didn't want to spend the money and time for something not so sure (for one thing, my software document won't be as good as pbrun's, and I didn't have the same amount of resources to compete with a well established company.). You know the result.

coolioo

技术上先不谈，你这个属于专业级安全软件，凭你一个人是绝对不可能卖给最终用户的。卖给专业安全公司的可能性要大的多。

飞飞鱼

讨论着就清晰了，咱们不要偏题了：

1.关于sftp
需求：安全的从Node A将文件传输到Node B
解决：在Node A创建User A，在Node B创建User A，并将User A的$home改为要传输文件的目录；将Node A上的User A的Public Key发布到Node B上；在Node B上将User A的Shell设置为/usr/bin/false，将login设置为false。

这样User A只能传输文件到指定目录，无法登录。

2.关于sudo
需求：安全的使用sudo
解决：
sudo授权基于group，而不基于user；
sudo授权基于具体指令，而不基于user；
打开sudo的log，打开sshd_config下的log，日志记录下所执行的所有指令；
如果一定要sudo su - user，采用sudosh记录sudo后所执行的所有指令；并用tripwire控制敏感文件的修改。

3.把sudoers放进季度compliance check里；
把sudo升级放进季度compliance check里

sweetheart

I don't know when did you see after sudo to root account, all commands executed would automatically be logged. Please tell facts, not just something you believe.

sweetheart

原帖由 飞飞鱼 于 2011-8-27 21:49 发表
讨论着就清晰了，咱们不要偏题了：

1.关于sftp
需求：安全的从Node A将文件传输到Node B
解决：在Node A创建User A，在Node B创建User A，并将User A的$home改为要传输文件的目录；将Node A上的User A的Public Key发布到Node B上； ...

Problem: if an operator is able to using user A on node A to transfer files to user A's home dir on node B, he will be able to do unauthorized file transfer from any other machines. That's a very bad solution.
'

sweetheart

BTW, I found most tips about how to set up sftp only account got from google search are flawed.