Re: sudo ws root
Hello!
В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
> On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
> > Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
> > методом подбора/кражи пароля?
>
> Помнится, какие-то секьюрити апдейты у openssh были. Не считая
> последнего, связанного с отрыванием случайности от openssl.
Так секьюрити апдейты должны быть как раз превентивной мерой. Раз они выходят раньше, чем уязвимость
начинают эксплуатировать, это лучший из _практически_ достижимых случаев (не считая идеального
случая отсуствия уязвимостей - как багов реализации, так и ошибок алгоритмических).
> > Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а
> > не гордиться.
>
> Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ.
> Особенно в сочетании со всем используемым openssh кодом - openssl, libc,
> tcpwrappers etc.
>
> К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности
> (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет.
Да, но openssh это самое простое из обсуждаемых решений...
> Надежности добавляет двухфакторная аутентификация. "что имею"+"что
> знаю". Даже если "что знаю" это просто пассфраза к секретному ключу в
> pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ.
>
> Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на
> мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой
> ключики из памяти вычищались.
Вот насчет этого большие сомнения - меня, собственно, как раз это соображение останавливает от
использования предлагаемого вами варианта. Да и присутствие юзера не гарантирует безопасности,
все-таки лучше пароль не кэшировать. А так получается - сертификат на диске, пароль в памяти
компьютера... Лучше уж просто пароль в памяти _пользователя_.
Best regards, Alexey.
Reply to: