Re: sudo ws root
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
> Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом подбора/кражи пароля?
Помнится, какие-то секьюрити апдейты у openssh были. Не считая
последнего, связанного с отрыванием случайности от openssl.
> Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а
> не гордиться.
Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ.
Особенно в сочетании со всем используемым openssh кодом - openssl, libc,
tcpwrappers etc.
К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности
(особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет.
> P.S. Сертификат против пароля - это стратегия "что имею" против "что знаю". И само по себе
> использование сертификата надежности не прибавляет и не убавляет.
Надежности добавляет двухфакторная аутентификация. "что имею"+"что
знаю". Даже если "что знаю" это просто пассфраза к секретному ключу в
pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ.
Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на
мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой
ключики из памяти вычищались.
Reply to: