Retningslinjer for sikker bruk av SSH

Selv om SSH i seg selv er kryptert, er det fortsatt mulig å benytte SSH på en uheldig og usikker måte. Derfor skal dette dokumentet gi retningslinjer for sikker bruk av SSH.

Maskiner du kan kjøre SSH mot fra utenfor UiO

  • login.uio.no (åpen for alle)
  • login.ifi.uio.no (åpen for ansatte og studenter ved IfI)

Prinsipper

  • Hovedprinsippet er at passord er definert som sensitiv informasjon og aldri skal sendes ukryptert over nett.
  • Med «lukket nett» så menes det i denne sammenheng nett som er helt avskåret fra andre nett, eller som er nedlåst med aksesslister på en slik måte at misbruk er svært usannsynlig.

1. Bruk av nøkkelbasert pålogging for SSH, SCP og SFTP

SSH, SCP og SFTP lar deg benytte nøkkelpar i stedet for passord ved pålogging. For at dette skal gjøres sikkert så må noen hensyn tas.

  • Benytt alltid passord på private nøkler
  • Benytt «ssh agent forwarding» kun til maskiner der du stoler på de som er «root»
  • Ikke bland nøkler til privat- og jobb-bruk
  • Nøkler skal aldri brukes til å logge på kontoer med høyere privilegier - f. eks. fra vanlig bruker til root.
  • Benytt «from=» i authorized_keys der det er mulig. Slik påser man at gjeldende nøkkel kun virker fra en gitt maskin.
  • Husk at hjemmeområder ofte ligger på NFS, og i praksis så kan alle som kan skrive til ditt hjemmeområde endre dine nøkler.
  • Ved bruk av ssh-agent så skal ikke nøkkelen leve mer enn 24 timer. ssh-agent bør tømmes for nøkler når du går for dagen.

2. Bruk av «X11 forwarding» og «TCP forwarding»

SSH lar deg kjøre «TCP-forwarding» (og X11-forwarding) slik at SSH i praksis blir en tunnel mellom to maskiner. Dette gjør at det kan benyttes til å bryte sikkerhetsbarrierer.

  • Vurdér om X11-forwarding skal være skrudd på som standard. Slik forwarding kan settes opp pr. maskin via .ssh/config eller for en gitt sessjon med «-X»
  • TCP forwarding skal ikke benyttes på en slik måte at det svekker sikkerheten, eller eksponerer interne tjenester for andre maskiner enn de du har kontroll over
  • TCP forwarding skal ikke benyttes med «-g» opsjon for å eksponere interne tjenester til andre enn 127.0.0.1
  • X11 forwarding som root skal kun benyttes hvis det ikke finnes annen utvei, f. eks. der det kreves av grafisk installasjonsprogram eller lignende.
  • TUN device «-W» skal ikke benyttes uten spesiell avtale

 

    Publisert 18. mars 2019 13:53 - Sist endret 18. mars 2019 13:55