Per i principianti, sì, la bruteforce chiave non è realistica in circostanze normali. Qualsiasi server configurato correttamente non ti permetterà di fare miliardi di ipotesi sulla chiave SSH. Se lo fa, ci sono alcuni problemi principali con i protocolli di sicurezza del server. Tutti i tipi di luci rosse dovrebbero uscire dai registri di un server di produzione se ci sono molti errori chiave contro un singolo account.
link
link
Per quasi tutti gli scopi, è praticamente impossibile.
Tieni presente che se qualcuno ha ottenuto l'accesso a un file system del client, sei già in cattive condizioni. Tuttavia, ciò non significa che tutta l'ulteriore sicurezza debba essere abbandonata.
Ad esempio, nel caso di un exploit remoto è molto comune ottenere l'accesso alla shell a un sistema senza acquisire pieni diritti. Ad esempio, un exploit remoto del server Web Apache atterrerà con una shell ... come il server stesso (whoami = apache), che non è sempre privilegiato come avresti sperato.
Quindi, nel caso di una macchina client compromessa, si vuole essere sicuri che prima di compromettere quella macchina abbia ogni tipo di protezione di sicurezza che può rendere la vita post compromessa infernale.
Ci sono molti modi per compromettere un computer client, quindi non è davvero possibile per me descrivere tutti gli scenari possibili qui:
- Assicurati di fare tutto il possibile per bloccare la macchina dall'accesso fisico. Buona gestione dell'hardware, crittografia completa del disco, buone password.
- Assicurati che una volta che l'utente malintenzionato si trova sulla macchina, la password di tutto sia quasi impossibile da indovinare
- Utilizzare un programma per generare password grandi e generate in modo sicuro. Memorizza le password in un keystore bloccato quando l'utente è assente e ha una passphrase molto grande.
- Applica un criterio che i tuoi utenti sempre crittografano a tutto disco i propri laptop mentre sono in movimento. In questo modo un laptop rubato è inutile per un aggressore.
- Utilizzare il software di controllo del registro lato client (come ossec) per aumentare gli allarmi quando l'attività di pesca si verifica su un computer client.
- Configura un blocco su ipotesi di chiavi SSH. Questo rallenterà solo un attaccante, ma con una password sufficientemente buona è quasi un gioco finito per l'attacco.