Re: sudo ws root
Здравствуйте.
On Thu, 18 Dec 2008 17:05:22 +0300
Artem Chuprina <ran@ran.pp.ru> wrote:
> DBA> Именно поэтому после него идет аутентификация по PKI ;)
>
> Угу. А теперь подумай, что будет, если этот shared secret
> скомпрометирован (украли одну из машин, которая его знала).
>
> Правильно, ситуация становится эквивалентной ситуации "его нет вообще"
> на время, необходимое для доведения нового секрета до всех остальных
> машин _по альтернативному каналу связи_. Либо, если угроза
> проникновения с украденной машины выше, все остальные лишаются доступа
> на то же самое время.
Согласен. Shared key - фактически лишь защита от флуда и от
"посторонних глаз", больше никак её рассматривать нельзя. И с этой
задачей он справляется вполне неплохо.
Я лишь предлагаю использовать openvpn для доступа к некой промежуточной
сети, из-под которой уже можно входить на ssh серверов. Контролировать
одну маленькую внутреннюю сеточку намного проще, чем весь интернет..
Reply to: