Re: sudo ws root
On 2008.12.18 at 23:43:09 +0300, Alexey Pechnikov wrote:
> Hello!
>
> > Ну так это PasswordAuthentication no
> > в /etc/sshd/sshd_config.
> > И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
> > (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
> > ключ, который в случае утраты данного устройства можно оперативно из
> > всех authorized_keys поотрывать.
>
> Как это сделать? Вы помните наизусть записи для всех устройств и можете их найти в known_hosts?
Не путаем known_hosts и authorized_keys.
В последнем, кстати, в конце строчки ключа обычно присутствует hostname
машины, на котором он генерировался. А уж hostname своих устройств я
помню.
> > В такой конфигурации у меня, любимого есть возможность попасть на машину
> > из любой кафешки с wi-fi и через GPRS любого сотового оператора.
> > А супостату для этого потребуется
> > 1. Стырить мой ноутбук/телефон/наладонник
> > 2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и
> > оторву соответствующие ключи воспользовавшись доступом с другого
> > носимого устройства.
>
> А как вы зайдете с _чужого_ компьютера или устройства?
> о паролю вход запрещен, а свой ключ
А зачем? У меня своих устройств откуда я могу зайти в норме с собой три.
> копировать на ненадежную машину и вводить на ней же пассфразу
> неразумно. Опять же, если устройство
Вводить пароль с ненадежной машины неменее неразумно.
Если там keylogger стоит, поимеют с тем же самым успехом.
Если keylogger-а там нету а ключ за собой сотрешь, не поимеют точно так
же.
> потеряется или флэшка с ключом сдохнет, на сервер попасть не удастся _никогда_.
Почему никогда? Генерируешь новый ключ, шлешь его по email-у, jabber-у
или ножками приносишь к другому человеку, который имеет доступ на этот
сервер и sudo/su там, и просишь положить к тебе в authorized_keys.
Или просто доходишь до ближайшей стационарной машины, где у тебя тоже
есть ключ, дающий право доступа на этот сервер, и копируешь ключ через
неё.
Reply to: