[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: known_hosts - несколько sshd на одном ip

Dmitri Samsonov -> debian-russian@lists.debian.org  @ Thu, 01 Oct 2009 13:25:07 +0400:

 >> У меня, гм, нет уверенности, что до сих пор никто не нарисовал драйвер
 >> маковской файловой системы для линукса...  Наоборот еще, может, и не
 >> нарисовали - но dd никто не отменял и там...

 DS>   Нет, они есть, конечно. Как в одну, так и в другую сторону. Нельзя
 DS> сказать, чтобы не без приколов, но есть...
 DS>   Меня здесь больше напрягает не столько потенциальная несекурность,
 DS> сколько нарушение принципа экономии мышления и связывание разных
 DS> сущностей только заради решения вспомогательной задачи. Ну и что-то мне
 DS> подсказывает, что пытаться обмануть программу -- порочная практика,
 DS> которая потом может выйти боком в неочевидном сейчас месте.
 DS>   Ну и вообще по жизни я обманывать не люблю -- предпочитаю честно
 DS> договариваться... (-:

Ты программу уже обманываешь.  Выдавая одинаковое имя и одинаковый адрес
двум разным системам.  Так что аргумент о честности за отмазку не канает
:-)

Либо ты их рассматриваешь как разные системы - и тогда у них должны быть
хотя бы разные имена (CheckHostIP no), либо ты эту машинку
интерпретируешь как единую - и тогда и имя, и ключи должны быть
одинаковыми.

 >>  DS>   Но меня это решение всё равно настораживает. Некошерно как-то.
 >>  DS> Как если бы в доме было две двери. И вместо того, чтобы носить с
 >>  DS> собой два ключа -- я бы заморочился два одинаковых замка поставить,
 >>  DS> чтобы один ключ и туда и сюда подходил.
 >> 
 >> В данном случае это скорее две параллельные двери, а не
 >> последовательные.  Чтобы войти в дом, достаточно одного ключа.  Любого.
 >> Разница только в том, в какую дверь с ним идти.  А если сделать
 >> одинаковые замки, то без разницы.

 DS>   Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня
 DS> неправильно поняли как "две двери подряд". (-:
 DS>   Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не
 DS> логичнее ли иметь у себя на связке два ключа: один от парадного входа,
 DS> другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так
 DS> будет делать?

Так а смысл таскать с собой два ключа?  Чтоб жизнь медом не казалась?

 DS>   И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с
 DS> другим замком. Не повод ли это для багрепорта?

Не повод.  Потому что можно.  Если это _другой_ ход (port).  А ты,
выражаясь в твоей аналогии, хочешь, чтобы два разных ключа подходили к
одной и той же двери - потому что тебе хочется раз в час менять там
замок...  Вот так точно никто не делает.  Хотя изгальнуться можно и так.

Пойми.  С точки зрения пришедшего (ssh) у тебя одна и та же дверь - один
и тот же хост, один и тот же порт.  Смена замка в одной и той же двери -
ситуация, прямо скажем, отнюдь не штатная...

-- 
Кто первый встал, того и грабли
	Д. Белявский
Reply to: