[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: sudo ws root



Покотиленко Костик -> debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 18:40:01 +0200:

 >>  ПК> Возможно правильный способ для Вас: VPN с машины в локалке на
 >>  ПК> сервер, с сервера на машину в локалке backupninja(с
 >>  ПК> rdiff-backup) из-под рута в любого пользователя, или
 >>  ПК> аналогичные схемы.
 >> 
 >> Это - дыра в локалку.  Причем довольно толстая дыра.  Тут взлом
 >> сервера сразу приводит к получению локального юзера на машине в
 >> локалке.  И, следовательно, возможности пробовать local exploit.

 ПК> Начнём с того, что я считал в этой задаче важность сервера прилично
 ПК> выше важности компьютера в локальной сети, поэтому взлом сервера
 ПК> считаю полным провалом системы безопасности.

Ну, вон Дамир правильно ответил.  Нет, там еще лежит моя личная почта,
каковая не то чтобы публична, но она тоже проходила теми же внешними
каналами.  То бишь не совсем публична.  А в локалке есть данные, которые
совсем не публичны.

 >>  Доктор, оно мне надо?  Или свою претензию к временному повышению
 >> привилегий ты все-таки начнешь с модели угроз?  (Да там и закончишь,
 >> прямо скажем - как только ты ее распишешь, тебе же все сразу станет
 >> гораздо понятнее...)

 ПК> Возможно и начну, если въеду чем и при каких условиях это
 ПК> лучше.

Тем, что тогда ты будешь обсуждать систему защиты хотя бы с пониманием,
от чего ты защищаешься.  До этого обсуждать систему защиты, в общем, не
очень имеет смысл.

 ПК> По поводу того способа с бэкапом по ssh: я раньше тоже так делал, и
 ПК> скрипты писал. Постепенно стал переходить в плоскость пользования
 ПК> стандартными инструментами, так как и грабли там стандартные. Под
 ПК> каждую задачку придумывать системку безопасности - сложнее не
 ПК> провтыкать. Надо бэкап - есть средства, надо транспорт - есть
 ПК> средства. Пусть openvpn сложнее по сути в настройке, чем ssh канал,
 ПК> но это только когда ты первый раз это делаешь, потом это даже
 ПК> проще.

У openvpn, начнем с, есть принципиальные грабли в безопасности по
сравнению с ssh.  Обходить их можно, но очень геморройно получается.
Они становятся заметны, когда разным VPN-клиентам нужно давать разный
доступ.

Хотя на своих задачах оно, конечно, удобно, в качестве замены ssh на
задаче доступа для обеспечения бэкапа оно не годится.  DNAT еще куда ни
шло, но openvpn?!

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

А еще следует потребовать, чтобы программисты, перед тем, как писать код,
внимательно прочли спецификацию: с сыром - это чизбургер.
	Игус в <Pine.LNX.4.44.0401231840020.15582-100000@moon>


Reply to: