Re: Více správců serveru - delegace root práv
Dan Lukes
dan at obluda.cz
Tue Dec 30 22:59:53 CET 2014
Miroslav Prýmek wrote:
>> Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic
>> driv nebo pozdejc nekde zapomenes.
> Ja tohle resim tokenem s neexportovatelnym klicem a ssh-agentem s
> potvrzovanim pouziti klice. Jeste vic by se mi libilo
> hw potvrzovaci tlacitko primo na tokenu, ale zadnej takovej jsem nikdy
> nevidel.
Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl
potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky,
to ale byly platebni karty.
Taky mam v obcance neexportovatelnej klic a USB ctecku hozenou u
dokladu. Jenze ne na kazdem pocitaci si muzes instalovat potrebny
ovladace ...
> Spousta hesel zase vyzaduje nejake uloziste hesel
Ja je mam v hlave. Takze samozrejme nemuzu mit pro kazde misto jiny,
takovou kapacitu zase nemam, ale rozhodne jich mam vice nez jednotky.
>> Takovej soubor nema byt vubec vzdalene dosazitelny.
> To si jenom hrajes s definici pojmu "vzdalena dosazitelnost" - ty se k
> tomu souboru taky nejak "vzdalene" dostanes,
> jenom sloziteji ;) A to je presne to, co jsem mel namysli.
Tys mluvil o tom, jak zaridit any soubor dostupny jen superuzivateli slo
stahnout nejak "jednoduse". Ja namital, ze je diskutabilni ten samotny cil.
"Spor" neni o tom, jestli maji byt zdalky pristupne, ale o tom, jestli
je vubec vhodne se ten pristup snazit zjednodusit.
> Ja bych byl za jakekoli prakticke informace o bezpecnosti FreeBSD velmi vdecny.
...
> Zvlast pokud by se nam podarilo z tech informaci potom vydestilovat nejake pouceni
S destilaty je to vzdycky komplikovany. Jejich bezpecny uzivani vyzaduje
zkusenost, jinak z toho muze bejt serednej bolehlav nebo jeste neco horsiho.
Muzu napsat co delam, pripadne proc prave tak, a muze nas to takhle
udelat vic, ale ziskas tim "jen" sadu alternativnich pristupu.
Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
sebelepsim kvizem spolehlive objevit nepodari.
Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
toho, kdo si ho vybral.
Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
ze lze doufat v nejaky "how-to" navod ...
Dan
More information about the Users-l
mailing list