Re: Security hole. remote root access.

To: debian-russian@lists.debian.org
Subject: Re: Security hole. remote root access.
From: Artem Chuprina <ran@ran.pp.ru>
Date: Thu, 20 Sep 2012 13:07:00 +0400
Message-id: <[🔎] 87haqtcbbf.fsf@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] CABCbbCysq5FyfAXkgTU0pOvOJfioUXd-m2a1Dq622uKiNBfDow@mail.gmail.com> (Damir Hakimov's message of "Thu, 20 Sep 2012 11:56:41 +0400")
References: <[🔎] CABCbbCyfm7oZSmSTBuqpMM=khtnW-m2J4sNYHgJ=-+14wird+w@mail.gmail.com> <[🔎] 20120919180059.GE5812@belkar.wrar.name> <[🔎] CABCbbCxcoP4FqZNdhS_8LytJL3zeQQgg07z59_i1bD8i7jcpYA@mail.gmail.com> <[🔎] 87pq5hcf40.fsf@wizzle.ran.pp.ru> <[🔎] CABCbbCysq5FyfAXkgTU0pOvOJfioUXd-m2a1Dq622uKiNBfDow@mail.gmail.com>

Damir Hakimov -> debian-russian@lists.debian.org  @ Thu, 20 Sep 2012 11:56:41 +0400:

 >>  DH> Если она там была на момент показанного выше "ssh-copy-id bogdo", то почему
 >>  DH> The authenticity of host 'bogdo (192.168.10.164)' can't be established.  ??
 >>
 >> Потому что она была залита не с этой машины или не под этим юзером.  Или
 >> вообще не по ssh.

 DH> "Не по ssh" - исключено. Я ленив, и не стану выкаблучиваться если
 DH> можно сказать два слова:
 DH> ssh-keygen и ssh-copy-id.

Мне казалось, что ключ там был root@backup.  То есть, вероятно, уже
существующий.  А ставил ты новые машины, а не бэкап-сервер.  У меня в
шляпе сисадмина в такой ситуации был бы tar с файлами, которые надо
развернуть у рута на новой машине, и .ssh/authorized_keys (не только с
ключом бэкап-юзера, но и со специфической командой для бэкапа) в нем бы
был.

 DH> А вот если, из-под другого пользователя сказать sudo ssh-copy-id
 DH> somehost интересно что произойдет? В чей known_hosts попадет
 DH> соотвествующая запись?

В known_hosts - юзера, потому что sudo не меняет $HOME.  Кстати, с
ненулевыми шансами на то, что потом этому known_hosts придется еще
говорить sudo chown перед попыткой добавить туда что-то еще.  А вот на
том конце, скорее всего, в рутовый authorized_keys, потому что юзера
sudo как раз меняет, и туда оно пойдет как root.

Reply to:

Follow-Ups:
- Re: Security hole. remote root access.
  - From: Damir Hakimov <damir.hakimov@gmail.com>

References:
- Security hole. remote root access.
  - From: Damir Hakimov <damir.hakimov@gmail.com>
- Re: Security hole. remote root access.
  - From: Andrey Rahmatullin <wrar@wrar.name>
- Re: Security hole. remote root access.
  - From: Damir Hakimov <damir.hakimov@gmail.com>
- Re: Security hole. remote root access.
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Security hole. remote root access.
  - From: Damir Hakimov <damir.hakimov@gmail.com>

Prev by Date: Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
Next by Date: Re: NAT
Previous by thread: Re: Security hole. remote root access.
Next by thread: Re: Security hole. remote root access.
Index(es):
- Date
- Thread