Více správců serveru - delegace root práv
Dan Lukes
dan at obluda.cz
Tue Dec 30 02:57:13 CET 2014
On 12/29/14 23:15, Miroslav Prýmek:
> pokud se k tomu uctu prihlasujes klicem, je pravdepodobnost prolomeni astronomicky nizka.
Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic
driv nebo pozdejc nekde zapomenes. Nebo ti ho z pocitace odesle nejaky
virus, ty takove veci zajimaji - a ono se neda stoprocentne spolehnout,
ze zadnej nechytis.
A to je pomerne neprijemny. Zatimco pokusy o vzdalene prolomeni hesla
jsou alespon teoreticky v LOGu zachytitelne a pocet pokusu za jednotku
casu se da omezit, zkouseni passphrase ke ztracenemu klici je
neviditelne a lze ho delat velmi rychle. To, ze's o klic nekde nejak
prisel jen tak nezjistis, a jeho vlastni zneuziti bude mit podobu
jednoho uspesneho pokusu o prihlaseni.
Ano, klic ma mensi riziko ztraty. Ale pokud k tomu dojde je mensi i
sance, ze na ztratu prijdes driv, nez dojde k podstatnym skodam.
V neposledni rade, takovej klic asi budes mit jed jeden jedinej. Jeho
pripadna ztrata je pak absolutnim prusvihem.
Kdezto kdybys chtel ziskat superuzivatelsky pristup ke vsem strojum, o
ktery se staram ja, potreboval bys vic hesel nez ma ruka prstu.
Nehadam se, ze to je bezpecnejsi - kazdy zpusob resi lip trochu jiny
rizika.
Ale ano, pokud pouzivas tentyz klic pri pristup k standardnim i
superuzivatelskym uctum a moznost autentizace heslem mas zcela
znemoznenou, pak skutecne nema dvoji autentizace smysl (protoze dvoji ve
skutecnosti neni).
> Tech pripadu, kdy to zdrzuje, je vic. Napr. si chces stahnout soubor citelny jenom rootem
Takovej soubor nema byt vubec vzdalene dosazitelny. Takze kdyz ho chci,
tak se tam prihlasim, SUcknu a pak ho tamodsud odeslu. Pri nahodne
jednorazovky to staci.
A pokud chci soubor zpristupnit trvale "ven" a jeho nizsi bezpecnost mi
nevadi (coz nevadi, kdyz jsem se rozhodl ho zdostupnit ven), no tak to
ho pak ucinim citelnym i vhodnemu beznemu uzivateli.
> Donedavna jsem mel v blokovaci tabulce radove 200 - 300 polozek, ale posledni dobou se to radikalne nafukuje. Dnes jich tam mam cca 2,5 tis.
To je jeden problem. Pokud paket prochazi prilis velkym mnozstvim
pravidel, celkova pruchodnost klesa. Tady se to jeste zvladnout da -
pridana pravidla budou 'deny ... setup' a 'allow ... established' musi
byt nad nimi, ale uz se na to musi davat pozor.
> nepodchyti utoky, ktere jsou vedene asi nejakym botnetem (jinak si neumim vysvetlit efektivitu takoveho pocinani), kde
> jsou pokusy o prihlaseni vedene pokazde z jine IP adresy.
To je druhy problem. Botnety se dneska pouzivaji dost bezne. .
> A to naprosto nechapu, jaky ze uzitek by mohl mit nekdo z hacknuti meho
> routeru (pripadne nektereho mikrotiku u meho zakaznika), ze je takovy
> utok vedeny prakticky nepretrzite.
I tak je to napriklad anonymizer. Taky to je IP ze ktery lze posilat
SPAMy (nez se dostane do blacklistu, tak to chvili trva). I na nevykonem
pidistroji lze provozovat jednoduchy WWW server - a kdyz ty lidi emailem
presvedcujes at nekam zadaji informace ze svych platebnich karet nebo
prihlasovaci udaje k bankovnictvi tak potrebujes nejaky server, ktery tu
obsahy formularu prijima a predava dal. V neposledni rade se muzes stat
clenem botnetu a z teto IP se budou pokouset prolomit na ucty jinde.
Dan
More information about the Users-l
mailing list