Re: known_hosts - несколько sshd на одном ip
On 2009.10.01 at 13:25:07 +0400, Dmitri Samsonov wrote:
> Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня
> неправильно поняли как "две двери подряд". (-:
> Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не
> логичнее ли иметь у себя на связке два ключа: один от парадного входа,
> другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так
> будет делать?
Тут вопрос в том, что у черного хода вообще-то немножко другой адрес,
чем у парадного. По крайней мере - другие географические координаты.
Соответсвенно, мы всегда можем однозначно определить - пришли мы с
черного хода, или с парадного, и достать соответствующий ключ.
> И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с
> другим замком.
Можно. Если мы до того, как сунем ключ в замочную скважину, сумеем
отличить черный ход от парадного. Вариантов предложили аж три
1. Разные IP-адреса.
2. Разные порты
3. Разные имена хостов, резолвящиеся в тот же IP.
В последнем варианте, кстати, проверка ключа позволяет определить, та ли
операционная система, загружена на компьютер.
То есть надо определиться с тем, считаем ли мы разные системы,
загруженные на данной железяке разными дверьми или одной.
Если они разные, то там должны быть разные ключи. Но при этом должен
быть способ указать, в какую именно систему мы идем.
Если это одна машина, и мы хотим туда попадать независимо от того, какая
именно система там загружена, то корректной аналогией будет не парадный
и черный ход, а легкосъемная дверь, которую кто-то, кто в этот момент
сидит дома, по своему усмотрению меняет на один из нескольких вариантов.
Причем внешне двери выглядят совершенно одинаково.
Cоответственно, приходим мы домой, вынимаем три ключа и начинаем по
очереди пробовать. Неудобно как-то получается.
Так что если хочется считать что это одна и та же система, и иметь на
ней один и тот же IP и sshd на одном и том же порту, то ключи должны
быть одинаковыми. Потому что - что собственно удостоверяет проверка
host key в ssh - то, что мы попали действительно на машину с тем
IP-адресом и портом, на которую собирались попасть.
> Не повод ли это для багрепорта?
>
> --
> Dmitri Samsonov
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: