Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Artem Chuprina <ran@ran.pp.ru>
Date: Thu, 18 Dec 2008 17:05:22 +0300
Message-id: <[🔎] 83739805@tigger.lan.cryptocom.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20081217222425.4fcdf9ea@razatustra.chindi.su> (Denis B. Afonin's message of "Wed\, 17 Dec 2008 22\:24\:25 +0300")
References: <[🔎] 493D6766.9020305@yandex.ru> <[🔎] 20081208183946.GH25098@work.uvw.ru> <[🔎] 493D6C1B.1040801@gmail.com> <[🔎] 493D9363.2000407@gmail.com> <[🔎] 493D991E.9060207@gmail.com> <[🔎] 20081209111705.3648ab1a@ibem> <[🔎] 20081209132012.GB22054@wagner.pp.ru> <[🔎] 1228843100.4315.34.camel@casper.meteor.dp.ua> <[🔎] 80334255@wizzle.medvedkovo.ran.pp.ru> <[🔎] 20081210090211.GB22538@work.uvw.ru> <[🔎] 91041785@wizzle.medvedkovo.ran.pp.ru> <[🔎] 1228905842.4590.15.camel@casper.meteor.dp.ua> <[🔎] 69606833@tigger.lan.cryptocom.ru> <[🔎] 1228927201.4590.75.camel@casper.meteor.dp.ua> <[🔎] 14214669@tigger.lan.cryptocom.ru> <[🔎] 20081217125611.3dcd238a@wind.itkm.ru> <[🔎] 12394197@tigger.lan.cryptocom.ru> <[🔎] 20081217174526.40504d82@wind.itkm.ru> <[🔎] 69500847@tigger.lan.cryptocom.ru> <[🔎] 20081217222425.4fcdf9ea@razatustra.chindi.su>

Denis B. Afonin -> debian-russian@lists.debian.org  @ Wed, 17 Dec 2008 22:24:25 +0300:

 >>  >>  DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на
 >>  >>  DBA> весь мир :)
 >>  >> У меня нет уверенности, что openvpn, открытый на весь мир,
 >>  >> лучше...
 >>  DBA> См. man openvpn на предмет tls-auth (плюс нестандартный
 >>  DBA> UDP-порт и, конечно же, PKI - почти рай для параика:))
 >> 
 >> tls-auth - shared secret.  Это плохо.
 DBA> Конечно.
 DBA> Именно поэтому после него идет аутентификация по PKI ;)

 DBA> А без правильного shared key ответный openvpn-сервер просто дропает
 DBA> входяшие пакеты (можно и без записи в лог).

Угу.  А теперь подумай, что будет, если этот shared secret
скомпрометирован (украли одну из машин, которая его знала).

Правильно, ситуация становится эквивалентной ситуации "его нет вообще"
на время, необходимое для доведения нового секрета до всех остальных
машин _по альтернативному каналу связи_.  Либо, если угроза
проникновения с украденной машины выше, все остальные лишаются доступа
на то же самое время.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Нажатие на кнопку "Запомнить пароль" не поможет ВАМ запомнить пароль.
 -- http://bash.org.ru/quote.php?num=101483

Reply to:

Follow-Ups:
- Re: sudo ws root
  - From: "Denis B. Afonin" <chindi@chindi.su>

References:
- sudo ws root
  - From: "russian-linuxoid@yandex.ru" <russian-linuxoid@yandex.ru>
- Re: sudo ws root
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: sudo ws root
  - From: "Eugene V. Lyubimkin" <jackyf.devel@gmail.com>
- Re: sudo ws root
  - From: Stanislav Kruchinin <stanislav.kruchinin@gmail.com>
- Re: sudo ws root
  - From: "Eugene V. Lyubimkin" <jackyf.devel@gmail.com>
- Re: sudo ws root
  - From: Grey Fenrir <grey.fenrir@gmail.com>
- Re: sudo ws root
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: "Denis B. Afonin" <chindi@chindi.su>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: "Denis B. Afonin" <chindi@chindi.su>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: "Denis B. Afonin" <chindi@chindi.su>

Prev by Date: Re: sudo ws root
Next by Date: Re: sudo ws root
Previous by thread: Re: sudo ws root
Next by thread: Re: sudo ws root
Index(es):
- Date
- Thread