[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: known_hosts - несколько sshd на одном ip

Mikhail Gusarov -> debian-russian@lists.debian.org  @ Mon, 23 Nov 2009 03:57:15 +0600:

 AC>> Это некая очень дополнительная мера защиты от цепочки взломов.
 AC>> Если взломщик пролез в твой аккаунт на некой машине (особенно -
 AC>> если вскрыл твой пароль), ему очень резонно ломануться дальше по
 AC>> списку хостов из known_hosts.  Хэширование его в этом обламывает.

 MG> Чем-то напоминает ту закрытую дверь, стоящую в чистом поле. entries из
 MG> .ssh/config и .*history никуда не денутся.

history, скорее всего, даст меньше информации.  Потому что хранится за
сравнительно небольшой срок.  zsh, кстати, по умолчанию, кажется,
history не хранит.

А в .ssh/config хостов вообще на порядок меньше, чем в known_hosts.  В
типичном случае - ни одного :-)

Стойкость защиты измеряется по самому хлипкому звену.  Нехешированные
имена хостов _в некоторой ситуации_ оказываются локально самым хлипким
звеном.  Их хэширование делает всю защиту чуть прочнее - самым хлипким
становится другое звено.  Его тоже можно усилять.

Впрочем, я излагаю смысл настройки, а не призываю ею пользоваться.

-- 
Если в кране нет воды -
удали с винта винды.
Reply to: