Re: sudo ws root
Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008 23:43:09 +0300:
>> Ну так это PasswordAuthentication no
>> в /etc/sshd/sshd_config.
>> И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
>> (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
>> ключ, который в случае утраты данного устройства можно оперативно из
>> всех authorized_keys поотрывать.
AP> Как это сделать? Вы помните наизусть записи для всех устройств и
AP> можете их найти в known_hosts?
Там вообще-то пишут идентификатор ключа, а что?
>> В такой конфигурации у меня, любимого есть возможность попасть на машину
>> из любой кафешки с wi-fi и через GPRS любого сотового оператора.
>> А супостату для этого потребуется
>> 1. Стырить мой ноутбук/телефон/наладонник
>> 2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и
>> оторву соответствующие ключи воспользовавшись доступом с другого
>> носимого устройства.
AP> А как вы зайдете с _чужого_ компьютера или устройства? По паролю
AP> вход запрещен, а свой ключ копировать на ненадежную машину и
AP> вводить на ней же пассфразу неразумно. Опять же, если устройство
AP> потеряется или флэшка с ключом сдохнет, на сервер попасть не
AP> удастся _никогда_.
Пароль для парольного доступа на такой машине вводить не рекомендуется
ровно с той же, гм, вероятностью. По той же самой причине. Только если
OTP. Но если на ключах OTP сэмулировать на такой случай - задача почти
тривиальная, то научить sshd (и главное, случайного ssh-клиента)
честному OTP, боюсь, не получится.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Как в notepad тексты редактировать? Руками каждую букву набирать, что ли?
(c)vitus
Reply to: