Více správců serveru - delegace root práv
Miroslav Prýmek
m.prymek at gmail.com
Mon Dec 29 23:15:13 CET 2014
On 12/29/2014 10:56 PM, Dan Lukes wrote:
> Rekneme, ze mas heslo dlouhe, dobre zvolene, takze pravdepodobnost, ze
> se nekdo trefi je mala.
> [...]
> A tim se dostavame zpatky k logu. Zatimco hlasky:
> authentication error for ... from 115.231.222.171
>
> je dneska asi tak jedine mozny ignorovat, hlaska
>
> BAD SU ...
>
> je neco kardinalne jinyho. Obzvlast, pokud je tam za den vic nez petkrat.
>
Rozumim, spravnej argument. Ovsem pokud se k tomu uctu prihlasujes
klicem, je pravdepodobnost prolomeni
astronomicky nizka. Takze se nam to realne smrskne jenom na tu ochranu
pred chybou v ssh, jak jsem psal, ne?
>
> Myslis jako, kdyz je tam zdalky injektujes nejakym scriptem ? No, to
> asi ano, ale na takovy script saham sotva jednou za cas. Takze me to
> zas tak klavesnici neopotrebuje.
>
Tech pripadu, kdy to zdrzuje, je vic. Napr. si chces stahnout soubor
citelny jenom rootem - pres scp timpadem nejde, leda
slozite pres ssh ... su -c cat ...
Vubec se o to nehodlam hadat :) zajimalo me jenom, jestli jsou nejake
padne argumenty, proc ssh na roota nepouzivat.
Ja jsem (za podminky vypnute autentizace heslem) zatim zadne nenasel,
proto se na to ptam.
>
>> Pokud clovek nema na vsech tech "roota autentizujicich" souborech
>> nastaveny schg a securitylevel aspon 1, tak je to stejne celkem
>> jedno, ne?
>
> Tahle bezpecnost ma uz i na me prilis vysokou cenu.
Pro me taky. Takze pak uz je celkem jedno, v jakem z root-only-writable
souboru ty citlive veci jsou... :)
M.
More information about the Users-l
mailing list