Sshd

Tässä yhtenä päivänä tuolla osa-aikaduunissa tultiin kysymään että voisinko auttaa tietokoneongelman kanssa. Oli linux-jutuista kyse ja kun ei muutakaan kyseistä käyttistä osaavaa ollut paikalla niin minä sitten sen kertaisen ongelmatilanteen hoidin. Siinä vain sitten kiinnitin huomiota yhteen asiaan:
siellä mestoilla on muutama linux-kone tekstinkäsittelyä ja web-selailua varten + 1 kone mikä jakaa printterin CUPS:in avulla. Useammassa kuin 1 koneessa käynnistyy automaattisesti sshd. En pidä ihan 100% välttämättömänä tahikka hyvänä ideana että koneissa , joiden pääasiallinen käyttötarkoitus ovat nuo edellämainitut tekistinkäsittely ja web-selailu, pyörii sshd ja vieläpä niin että root-tunnuksella kirjautuminen on sallittu. Sen verran siis pikaisesti vilkaisin sshd:n konffitiedostoa.

Nyt tässä on vain sellainen juttu että minä kun en ole se henkilö kuka päättää mitä siinä mestassa tehdään. Tai edes varsinainen it-tukihenkilö. Niin että mitenkä saisin asioista päättävät vakuuttuneeksi siitä että sshd kannattaisi laittaa pois päältä jos sitä ei tarvtse? Ja etenkin miten saisin asian tehtyä selväksi sellaisille henkilöille joiden linux-tietämys on tasolla “onks gnome sama asia ku kernel?” ?

Vai olisikohan vain parempi pitää huoli vain ja ainoastaan omista asioistaan ja that’s it…

“Hämmästyttää, kummeksuttaa pientä kulkijaa…”. Asiasta toki kannattaa tiedustella varsinaisten järjestelmien ylläpitäjiltä. Jos et tarkemmin tiedä ko. järjestelmän ylläpidosta, ei ehkä ole mitenkään tarpeellista olla huolissaan järjestelmän turvallisuudesta. Ylläpitäjät eivät varmaankaan paheksu, jos esität kysymyksiä.

Joo no täysi mysteeri on kuka niihin koneisiin on linuxin asentanut kuten myös sekin vaikuttaako kyseinen henkilö enää tuossa paikassa. Se henkilö kuka minua kysyi ratkaisemaan tuohon tulostuspalvelimeen liittyvän ongelman, varmaaan windowsia osaa mutta linuxin kanssa tuolla “onks gnome sama asia kuin kernel?”-tasolla.

Vähän kahden vaiheilla että alanko perustelemaan kyseiselle henkilölle että miksi tarpeettomien palvelinsoftien pyörittäminen on a) tarpeetonta b) huono idea vaiko vain unohdan tuon huomaamani jutun. Ehkä vain unohdan koska itse en oikein jaksa keksiä semmoisia perusteluja mitkä saisivat ummikon vakuuttuneeksi ja koska tähänkään asti ei ole siitä sshd:stä ongelmia tullut.

Olisiko kyseisellä tyypillä ollut tapana hoitaa päivitykset ja huollot SSH:n yli etänä?

Itsellänikin on kaikilla koneilla sshd käynnissä, mutta root on estetty ja portti vaihdettu epätavalliseksi. Halutessaanhan turvallisuutta voisi vielä siitäkin parantaa esim. lisäämällä koputukset.

[quote=“SuperOscar, post:4, topic:1633”][quote author=Anubis link=topic=2411.msg10253#msg10253 date=1416439146]
Joo no täysi mysteeri on kuka niihin koneisiin on linuxin asentanut kuten myös sekin vaikuttaako kyseinen henkilö enää tuossa paikassa.[/quote]

Olisiko kyseisellä tyypillä ollut tapana hoitaa päivitykset ja huollot SSH:n yli etänä?

Itsellänikin on kaikilla koneilla sshd käynnissä, mutta root on estetty ja portti vaihdettu epätavalliseksi. Halutessaanhan turvallisuutta voisi vielä siitäkin parantaa esim. lisäämällä koputukset.[/quote]

SSHD on ihan turvallinen oikein konfiguroituna, esimerkiksi public keyllä tai two factor authentikaatiolla.


Eero

[quote=“SuperOscar, post:4, topic:1633”][quote author=Anubis link=topic=2411.msg10253#msg10253 date=1416439146]
Joo no täysi mysteeri on kuka niihin koneisiin on linuxin asentanut kuten myös sekin vaikuttaako kyseinen henkilö enää tuossa paikassa.[/quote]

Olisiko kyseisellä tyypillä ollut tapana hoitaa päivitykset ja huollot SSH:n yli etänä?

Itsellänikin on kaikilla koneilla sshd käynnissä, mutta root on estetty ja portti vaihdettu epätavalliseksi. Halutessaanhan turvallisuutta voisi vielä siitäkin parantaa esim. lisäämällä koputukset.[/quote]

Teoriassa mahdollista tuokin mutta jotenkin epäilen.

Voi olla myös niinkin että sshd:n asentuminen on jonkin toisen paketin asentumisen sivuvaikutus ja se mysteerihenkilö tuuminut että kun kerran gnome ja openoffice toimii niin ei tarvitse enempiä säätää.

Jälkimmmäisestä arvauksesta tuli mieleen kun joskus aikoinaan viime vuosikymmenellä debiania ja ubuntua asentelin niin openssh-server:illä oli tapana asentua automaattisesti milloin minkäkäin riippuvuuden takia. Mutta kun en varsinaisesti moista serverisoftaa tarvinnut himakoneella niin laitoin kyseisen serverin pois päältä tai jopa poistin suoraan.

Vaan joo, itselleni vähän turhan kova haaste alkaa perustella “mikä se semmoinen ssh on?” - tasolla olevalle henkilölle miksi nuo peruskäytössä-ei-niin-pakolliset-serverisoftat kantsisi ehkä laittaa pois päältä.

Ehkä selvitän onko se joku tyyppi laittanut nuo turvallisuuspäivitykset latautumaan automaattisesti.
Jos ei JA löytyykin yllättäen jokin bugi tyyliin heartbleed tai shellshock niin saattaa teoriassa käydä niin että mulle napsahtaa uudelleenasennus-nakki. No onpahan päiväksi-pariksi jotain tekemistä toisaalta :slight_smile: