Re: Security hole. remote root access.
Damir Hakimov -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 11:56:41 +0400:
>> DH> Если она там была на момент показанного выше "ssh-copy-id bogdo", то почему
>> DH> The authenticity of host 'bogdo (192.168.10.164)' can't be established. ??
>>
>> Потому что она была залита не с этой машины или не под этим юзером. Или
>> вообще не по ssh.
DH> "Не по ssh" - исключено. Я ленив, и не стану выкаблучиваться если
DH> можно сказать два слова:
DH> ssh-keygen и ssh-copy-id.
Мне казалось, что ключ там был root@backup. То есть, вероятно, уже
существующий. А ставил ты новые машины, а не бэкап-сервер. У меня в
шляпе сисадмина в такой ситуации был бы tar с файлами, которые надо
развернуть у рута на новой машине, и .ssh/authorized_keys (не только с
ключом бэкап-юзера, но и со специфической командой для бэкапа) в нем бы
был.
DH> А вот если, из-под другого пользователя сказать sudo ssh-copy-id
DH> somehost интересно что произойдет? В чей known_hosts попадет
DH> соотвествующая запись?
В known_hosts - юзера, потому что sudo не меняет $HOME. Кстати, с
ненулевыми шансами на то, что потом этому known_hosts придется еще
говорить sudo chown перед попыткой добавить туда что-то еще. А вот на
том конце, скорее всего, в рутовый authorized_keys, потому что юзера
sudo как раз меняет, и туда оно пойдет как root.
Reply to: