Re: known_hosts - несколько sshd на одном ip

To: debian-russian@lists.debian.org
Subject: Re: known_hosts - несколько sshd на одном ip
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Thu, 1 Oct 2009 16:02:32 +0400
Message-id: <[🔎] 20091001120232.GA19048@wagner.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 4AC47573.2070903@gmail.com>
References: <4AC3314B.9080805@gmail.com> <42520783@tigger.lan.cryptocom.ru> <4AC38116.7010202@gmail.com> <[🔎] 33554479@tigger.lan.cryptocom.ru> <[🔎] 4AC47573.2070903@gmail.com>

On 2009.10.01 at 13:25:07 +0400, Dmitri Samsonov wrote:
>   Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня
> неправильно поняли как "две двери подряд". (-:
>   Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не
> логичнее ли иметь у себя на связке два ключа: один от парадного входа,
> другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так
> будет делать?

Тут вопрос в том, что у черного хода вообще-то немножко другой адрес,
чем у парадного. По крайней мере - другие географические координаты.

Соответсвенно, мы всегда можем однозначно определить - пришли мы с
черного хода, или с парадного, и достать соответствующий ключ.

>   И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с
> другим замком. 

Можно. Если мы до того, как сунем ключ в замочную скважину, сумеем
отличить черный ход от парадного. Вариантов предложили аж три
1. Разные IP-адреса.
2. Разные порты
3. Разные имена хостов, резолвящиеся в тот же IP.

В последнем варианте, кстати, проверка ключа позволяет определить, та ли
операционная система, загружена на компьютер.

То есть надо определиться с тем, считаем ли мы разные системы,
загруженные на данной железяке разными дверьми или одной.
Если они разные, то там должны быть разные ключи. Но при этом должен
быть способ указать, в какую именно систему мы идем.

Если это одна машина, и мы хотим туда попадать независимо от того, какая
именно система там загружена, то корректной аналогией будет не парадный
и черный ход, а легкосъемная дверь, которую кто-то, кто в этот момент
сидит дома, по своему усмотрению меняет на один из нескольких вариантов.

Причем внешне двери выглядят совершенно одинаково.
Cоответственно, приходим мы домой, вынимаем три ключа и начинаем по
очереди пробовать. Неудобно как-то получается.

Так что если хочется считать что это одна и та же система, и иметь на
ней один и тот же IP и sshd на одном и том же порту, то ключи должны
быть одинаковыми. Потому что - что собственно удостоверяет проверка
host key в ssh - то, что мы попали действительно на машину с тем
IP-адресом и портом, на которую собирались попасть.

> Не повод ли это для багрепорта?
> 
> --
> Dmitri Samsonov
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

Reply to:

Follow-Ups:
- Re: known_hosts - несколько sshd на одном ip
  - From: Dmitri Samsonov <samson.samson.samson@gmail.com>

References:
- Re: known_hosts - несколько sshd на одном ip
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: known_hosts - несколько sshd на одном ip
  - From: Dmitri Samsonov <samson.samson.samson@gmail.com>

Prev by Date: Re: known_hosts - несколько sshd на одном ip
Next by Date: Re: Как избавиться от eth0 up ?
Previous by thread: Re: known_hosts - несколько sshd на одном ip
Next by thread: Re: known_hosts - несколько sshd на одном ip
Index(es):
- Date
- Thread