Více správců serveru - delegace root práv

[Dan Lukes]

On 12/29/14 23:15, Miroslav Prýmek:
> pokud se k tomu uctu prihlasujes klicem, je pravdepodobnost prolomeni astronomicky nizka.

Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic 
driv nebo pozdejc nekde zapomenes. Nebo ti ho z pocitace odesle nejaky 
virus, ty takove veci zajimaji - a ono se neda stoprocentne spolehnout, 
ze zadnej nechytis.

A to je pomerne neprijemny. Zatimco pokusy o vzdalene prolomeni hesla 
jsou alespon teoreticky v LOGu zachytitelne a pocet pokusu za jednotku 
casu se da omezit, zkouseni passphrase ke ztracenemu klici je 
neviditelne a lze ho delat velmi rychle. To, ze's o klic nekde nejak 
prisel jen tak nezjistis, a jeho vlastni zneuziti bude mit podobu 
jednoho uspesneho pokusu o prihlaseni.

Ano, klic ma mensi riziko ztraty. Ale pokud k tomu dojde je mensi i 
sance, ze na ztratu prijdes driv, nez dojde k podstatnym skodam.

V neposledni rade, takovej klic asi budes mit jed jeden jedinej. Jeho 
pripadna ztrata je pak absolutnim prusvihem.

Kdezto kdybys chtel ziskat superuzivatelsky pristup ke vsem strojum, o 
ktery se staram ja, potreboval bys vic hesel nez ma ruka prstu.

Nehadam se, ze to je bezpecnejsi - kazdy zpusob resi lip trochu jiny 
rizika.

Ale ano, pokud pouzivas tentyz klic pri pristup k standardnim i 
superuzivatelskym uctum a moznost autentizace heslem mas zcela 
znemoznenou, pak skutecne nema dvoji autentizace smysl (protoze dvoji ve 
skutecnosti neni).

> Tech pripadu, kdy to zdrzuje, je vic. Napr. si chces stahnout soubor citelny jenom rootem

Takovej soubor nema byt vubec vzdalene dosazitelny. Takze kdyz ho chci, 
tak se tam prihlasim, SUcknu a pak ho tamodsud odeslu. Pri nahodne 
jednorazovky to staci.

A pokud chci soubor zpristupnit trvale "ven" a jeho nizsi bezpecnost mi 
nevadi (coz nevadi, kdyz jsem se rozhodl ho zdostupnit ven), no tak to 
ho pak ucinim citelnym i vhodnemu beznemu uzivateli.

> Donedavna jsem mel v blokovaci tabulce radove 200 - 300 polozek, ale posledni dobou se to radikalne nafukuje. Dnes jich tam mam cca 2,5 tis.

To je jeden problem. Pokud paket prochazi prilis velkym mnozstvim 
pravidel, celkova pruchodnost klesa. Tady se to jeste zvladnout da - 
pridana pravidla budou 'deny ... setup' a 'allow ... established' musi 
byt nad nimi, ale uz se na to musi davat pozor.

> nepodchyti utoky, ktere jsou vedene asi nejakym botnetem (jinak si neumim vysvetlit efektivitu takoveho pocinani), kde
> jsou pokusy o prihlaseni vedene pokazde z jine IP adresy.

To je druhy problem. Botnety se dneska pouzivaji dost bezne. .

> A to naprosto nechapu, jaky ze uzitek by mohl mit nekdo z hacknuti meho
> routeru (pripadne nektereho mikrotiku u meho zakaznika), ze je takovy
> utok vedeny prakticky nepretrzite.

I tak je to napriklad anonymizer. Taky to je IP ze ktery lze posilat 
SPAMy (nez se dostane do blacklistu, tak to chvili trva). I na nevykonem 
pidistroji lze provozovat jednoduchy WWW server - a kdyz ty lidi emailem 
presvedcujes at nekam zadaji informace ze svych platebnich karet nebo 
prihlasovaci udaje k bankovnictvi tak potrebujes nejaky server, ktery tu 
obsahy formularu prijima a predava dal. V neposledni rade se muzes stat 
clenem botnetu a z teto IP se budou pokouset prolomit na ucty jinde.


Dan