Více správců serveru - delegace root práv

Miroslav Prýmek m.prymek at gmail.com
Wed Dec 31 09:09:48 CET 2014


On 12/30/2014 10:59 PM, Dan Lukes wrote:
> Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl 
> potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky, 
> to ale byly platebni karty. 
Ja to mam ted tak, ze mam klic v tokenu, do ssh-agenta zadam PIN a kde 
co mam resene pres ssh-agenta* (nekde treba i tu autentizaci roota pres su),
takze mam dost vysokou jistotu, ze mi klic nikdo neukradne, maximalne ho 
muze kratkodobe zneuzit, kdyz na tom stroji ziska roota (coz by mohl 
udleat i s heslem).
Zadavani PINu na tokenu by byl pro me z hlediska UX krok zpatky, protoze 
ted mi staci dat enter. Takze muj token snu by obsahoval jenom jedno 
tlacitko,
kdyz by mel neco podepsat, tak by se rozsvitil a nepodepsal, dokud by 
clovek nestiskl tlacitko. Tim by se vyrazne snizila moznost zneuziti a 
snadnost
pouziti zustala stejna. Takovy token jsem ale jeste nevidel a neni mi 
moc jasne, proc se nevyrabi.

* mimochodem, kdyz jsme u toho, zkusil jsem naprogramovat takovy 
proof-of-concept, jak pomoci ssh-agenta elegantne sifrovat
   a docela rozumne bezpecne spoustet programy s citlivou konfiguraci: 
https://github.com/mprymek/cagent
   Jestli byste nekdo meli cas se na to podivat a dat mi zpetnou vazbu, 
byl bych moc vdecnej. Zadnym review to neproslo a nijak
   zvlast si v tomhle neverim, takze na nic kritickyho to nepouzivam...

> Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
> legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
> ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
> sebelepsim kvizem spolehlive objevit nepodari.
>
> Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
> nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
> toho, kdo si ho vybral.
>
> Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
> ze lze doufat v nejaky "how-to" navod ...
>

Jasne. Rizika si musi kazdej posoudit sam a zvolit pristup vhodnej pro 
to ktere nasazeni.
Spis jsem reagoval na to, ze tady byla treba rec o honeypotech, coz je 
vec, k jejimuz nasazeni
jsem se nikdy nedokopal, takze by me dost zajimalo, jake utoky tam lidi 
nejcasteji
chytaji a specialne jake je mnozstvi utoku cilenych specificky na FreeBSD.

Protoze clovek by mohl venovat pozornost zabezpeceni neceho, na co se 
realne neutoci
a zanedbat neco, na co se utoci...

O howto mi nejde, spis o to, kdo povazuje jaky utok v jakem prostredi za 
nejpravdepodobnejsi a jakou
ochranu voli.

M.


More information about the Users-l mailing list