Re: sudo ws root
В Чтв, 18/12/2008 в 20:56 +0300, Denis B. Afonin пишет:
> Здравствуйте.
>
> On Thu, 18 Dec 2008 17:05:22 +0300
> Artem Chuprina <ran@ran.pp.ru> wrote:
> > DBA> Именно поэтому после него идет аутентификация по PKI ;)
> >
> > Угу. А теперь подумай, что будет, если этот shared secret
> > скомпрометирован (украли одну из машин, которая его знала).
> >
> > Правильно, ситуация становится эквивалентной ситуации "его нет вообще"
> > на время, необходимое для доведения нового секрета до всех остальных
> > машин _по альтернативному каналу связи_. Либо, если угроза
> > проникновения с украденной машины выше, все остальные лишаются доступа
> > на то же самое время.
> Согласен. Shared key - фактически лишь защита от флуда и от
> "посторонних глаз", больше никак её рассматривать нельзя. И с этой
> задачей он справляется вполне неплохо.
>
> Я лишь предлагаю использовать openvpn для доступа к некой промежуточной
> сети, из-под которой уже можно входить на ssh серверов. Контролировать
> одну маленькую внутреннюю сеточку намного проще, чем весь интернет..
Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на
всегда определиться в тем, что VPN и SSH это разные "вещи", они решают
разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте вариантов
решения конкретной задачи.
SSH: даёт доступ на машину
VPN: даёт доступ в сеть
Разные ведь они. Слои безопасности тоже разные, очень зависит от задачи.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: