Bruk av SSH, SFTP og screen

SSH er mye brukt ved UiO for kommunikasjon mot UNIX- og Linux-maskiner. 

Maskiner du kan kjøre SSH mot

  • login.uio.no
  • tsh.uio.no

Retningslinjer for sikker bruk av SSH og screen

Selv om SSH i seg selv er kryptert og i så måte er langt sikrere enn f.eks. TELNET og RSH, så er det fortsatt mulig å benytte SSH på en uheldig og usikker måte. Derfor skal dette dokumentet gi noen retningslinjer for sikker bruk av SSH.

Hovedprinsippet er at passord er definert som sensitiv informasjon og aldri skal sendes ukryptert over nett. Med lukket nett så menes det i denne sammenheng nett som er helt avskåret fra andre nett, eller som er nedlåst med aksesslister på en slik måte at misbruk er svært usannsynlig.

1. SSH skal benyttes fremfor usikre protokoller som telnet og rsh

Der det er mulig så skal SSH benyttes i stedet for TELNET, RSH eller andre protokoller der påloggingsinformasjonen går i klartekst. Slike protokoller er kun tillatt brukt der det av tekniske årsaker ikke er mulig å benytte SSH. Det skal da finnes sikringstiltak som sikrer at passord ikke kommer på avveie. F.eks. ved at det skjer på et lukket nett. Slike unntak skal godkjennes spesielt av IT-sikkerhetssjef.

2. SCP/SFTP skal benyttes fremfor FTP og RCP

Der det er mulig så skal SCP eller SFTP benyttes i stedet for FTP, RCP eller andre klartekst protokoller. For RCP gjelder samme regler som for TELNET/RSH, dvs. skal de benyttes så skal det sikres spesielt og det skal godkjennes av IT-sikkerhetssjef. For FTP så er det tillatt der det skjer på en slik måte at UiO brukernavn og passord eller brukernavn og passord til andre priviligerte brukere ikke kan kompromitteres. Det vil si at FTP primært skal benyttes som anonym FTP, på lukkede, kontrollerte nett eller med kontoer satt opp spesielt for slik bruk.

3. Bruk av nøkkelbasert pålogging for SSH, SCP og SFTP

SSH, SCP og SFTP lar deg benytte nøkkelpar i stedet for passord ved pålogging. For at dette skal gjøres sikkert så må noen hensyn tas.

  • Benytt alltid passord på private nøkler
  • Benytt "ssh agent forwarding" kun til maskiner der du stoler på de som er «root»
  • Ikke bland nøkler til privat- og jobb-bruk
  • Nøkler bør ikke brukes til å logge på kontoer med høyere privilegier. F.eks. fra vanlig bruker til root.
  • Benytt "from=" i authorized_keys der det er mulig. Slik at gjeldende nøkkel kun virker fra en gitt maskin.
  • Husk at hjemmeområder ligger ofte på NFS, og i praksis så kan alle som kan nå ditt hjemmeområde endre dine nøkler.
  • Ved bruk av ssh-agent så skal ikke nøkkelen leve mer enn 24 timer. ssh-agent bør tømmes for nøkler når du går for dagen.

4. Bruk av "X11 forwarding" og "TCP forwarding"

SSH lar deg kjøre "TCP-forwarding" (og X11-forwarding) slik at SSH i praksis blir en tunnel mellom to maskiner. Dette gjør at det kan benyttes til å bryte sikkerhetsbarrierer.

  • Vurder om X11-forwarding skal være skrudd på som standard. Slik forwarding kan settes opp pr. maskin via .ssh/config eller for en gitt sessjon med -X
  • TCP forwarding skal ikke benyttes på en slik måte at det svekker sikkerheten, eller eksponerer interne tjenester for andre maskiner enn de du har kontroll over
  • TCP forwarding skal ikke benyttes med "-g" opsjon for å eksponere interne tjenester til andre enn 127.0.0.1
  • X11 forwarding som root skal kun benyttes hvis det ikke finnes annen utvei. F.eks. der det kreves av grafisk installasjonsprogram eller lignende.
  • TUN device "-W" skal ikke benyttes uten spesiell avtale

5. Bruk av "screen"

Mange benytter screen for å ha flere sesjoner gående, eller for å kunne plukke opp sesjoner fra andre maskiner. Dette er nyttig, men kan i noen tilfeller utgjøre en risiko.

Beskytt alltid screen-sesjonen med passord hvis noen av vinduene er logget inn som root eller annen priviligert bruker. NB: Det holder ikke å bare låse screen, passord må settes.
Kjør ikke screen med root/priviligerte brukere på felles maskiner

6. Tips 

  • Ustabilitet kan løses ved å legge til "ConnectTimeout=10" i /etc/ssh/ssh_config

 

Publisert 21. mai 2010 14:00 - Sist endret 4. sep. 2014 14:25