Re: sudo ws root
В Срд, 10/12/2008 в 18:20 +0300, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:44:02 +0200:
>
> ПК> Возможно правильный способ для Вас: VPN с машины в локалке на
> ПК> сервер, с сервера на машину в локалке backupninja(с rdiff-backup)
> ПК> из-под рута в любого пользователя, или аналогичные схемы.
>
> Это - дыра в локалку. Причем довольно толстая дыра. Тут взлом сервера
> сразу приводит к получению локального юзера на машине в локалке. И,
> следовательно, возможности пробовать local exploit.
Начнём с того, что я считал в этой задаче важность сервера прилично выше
важности компьютера в локальной сети, поэтому взлом сервера считаю
полным провалом системы безопасности.
> Доктор, оно мне
> надо? Или свою претензию к временному повышению привилегий ты все-таки
> начнешь с модели угроз? (Да там и закончишь, прямо скажем - как только
> ты ее распишешь, тебе же все сразу станет гораздо понятнее...)
Возможно и начну, если въеду чем и при каких условиях это лучше. Вопросы
я начал задавать не из вредности, а потому, что мало об этом знаю и мне
интересно.
По поводу того способа с бэкапом по ssh: я раньше тоже так делал, и
скрипты писал. Постепенно стал переходить в плоскость пользования
стандартными инструментами, так как и грабли там стандартные. Под каждую
задачку придумывать системку безопасности - сложнее не провтыкать. Надо
бэкап - есть средства, надо транспорт - есть средства. Пусть openvpn
сложнее по сути в настройке, чем ssh канал, но это только когда ты
первый раз это делаешь, потом это даже проще.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: