MOLLY-GUARD

Bescherm externe server tegen accidentele reboot/shutdown

molly-guard is een tool die je als je via SSH andere systemen beheert gewoon geïnstalleerd MOET hebben !

Maar wat is molly-guard nu precies?

molly-guard detecteert wanneer je een shutdown (of reboot) commando geeft via een ssh-verbinding. En wanneer het dat doet zal het een melding geven en vragen om de hostnaam van het systeem dat je wil afsluiten/herstarten in te geven. Wanneer de hostnaam die je ingeeft niet dezelfde is als de hostnaam van het systeem waarop het shutdown/reboot commando gegeven wordt zal molly-guard voorkomen dat het commando uitgevoerd wordt.

Figuur 1. $ ssh 192.168.1.34 daarna sudo reboot;
let niet op de “please touch the device.” melding. Dat is van een hardware token die voor een 2nd Factor Authenticatie zorgt, De relevante regels zijn de 2 laatste:
  • W: molly-guard: SSH session detected!
  • Please type in the hostname of the machine to reboot:

Als ik nu de verkeerde hostname ingeef zal de reboot (in dit geval) afgebroken worden:

Figuur 2. Verkeerde "Hostname" ingegeven en systeem zal niet herstarten.

Als ik de correcte hostname ingeef zal het systeem (kali) in mijn geval wel herstarten.

Figuur 3. Correcte hostname ingegeven en systeem zal herstarten (SSH verbinding wordt beëindigt).

Misschien vraag je je nu wel af waarom dit zo belangrijk is?

Als het bij mij (als thuisgebruiker) gebeurt (en het IS al gebeurd) zal ik eens kort vloeken op mezelf en daarmee is de kous af, maar stel je eens voor dat je voor een groot telecom bedrijf werkt en je herstart daar per ongeluk een productie-server die betalingstransacties afhandelt (terwijl jij denkt dat het gewoon een test-server is) wat het bedrijf enorm veel geld kost. En dit ik ook al gebeurt en de Beheerder is daardoor ontslagen.

Een simpele extra beveiliging zoals deze is dus binnen een bedrijf zeker geen overbodige luxe.

Meer informatie kun je altijd terugvinden in de manpages of de infopages