Re: sudo ws root
On 2008.12.17 at 14:56:43 +0300, Denis B. Afonin wrote:
> Здравствуйте.
>
> On Wed, 17 Dec 2008 12:38:19 +0200
> Игорь Чумак <i.chumak@generali.garant.ua> wrote:
> > > PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
> > > мир :)
> > И чем это им (идиотам) грозит?
> Минимум - постоянные посторонние записи в логах от ботов, пытающихся
> подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все
> равно анализировать такие логи на попытки несанкционированного доступа
> врядли будет делом приятным).
>
> Ну а воспалённый мозг параноика может многое придумать ;)
> Есть мнение, что системы безопасности должны строиться так, чтобы
> выложенный на свободный доступ расшифрованный /etc/shadow ничем
> никому помочь не мог..
Ну так это PasswordAuthentication no
в /etc/sshd/sshd_config.
И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
(ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
ключ, который в случае утраты данного устройства можно оперативно из
всех authorized_keys поотрывать.
Лучше б, конечно PKI туда прикрутить, чтобы отзывать ключ
централизовано. Но имеющиеся патчи для прикрутки PKI к ssh мне что-то не
очень понравились. Особенно в условиях, когда на некоторую машину имеют
доступ разные люди, каждый из которых хочет менеджить свои ключи сам
(потому что ходит по этим ключам на N машин под разной административной
ответственностью).
В такой конфигурации у меня, любимого есть возможность попасть на машину
из любой кафешки с wi-fi и через GPRS любого сотового оператора.
А супостату для этого потребуется
1. Стырить мой ноутбук/телефон/наладонник
2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и
оторву соответствующие ключи воспользовавшись доступом с другого
носимого устройства.
Reply to: