Více správců serveru - delegace root práv
Miroslav Prýmek
m.prymek at gmail.com
Wed Dec 31 09:09:48 CET 2014
On 12/30/2014 10:59 PM, Dan Lukes wrote:
> Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl
> potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky,
> to ale byly platebni karty.
Ja to mam ted tak, ze mam klic v tokenu, do ssh-agenta zadam PIN a kde
co mam resene pres ssh-agenta* (nekde treba i tu autentizaci roota pres su),
takze mam dost vysokou jistotu, ze mi klic nikdo neukradne, maximalne ho
muze kratkodobe zneuzit, kdyz na tom stroji ziska roota (coz by mohl
udleat i s heslem).
Zadavani PINu na tokenu by byl pro me z hlediska UX krok zpatky, protoze
ted mi staci dat enter. Takze muj token snu by obsahoval jenom jedno
tlacitko,
kdyz by mel neco podepsat, tak by se rozsvitil a nepodepsal, dokud by
clovek nestiskl tlacitko. Tim by se vyrazne snizila moznost zneuziti a
snadnost
pouziti zustala stejna. Takovy token jsem ale jeste nevidel a neni mi
moc jasne, proc se nevyrabi.
* mimochodem, kdyz jsme u toho, zkusil jsem naprogramovat takovy
proof-of-concept, jak pomoci ssh-agenta elegantne sifrovat
a docela rozumne bezpecne spoustet programy s citlivou konfiguraci:
https://github.com/mprymek/cagent
Jestli byste nekdo meli cas se na to podivat a dat mi zpetnou vazbu,
byl bych moc vdecnej. Zadnym review to neproslo a nijak
zvlast si v tomhle neverim, takze na nic kritickyho to nepouzivam...
> Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
> legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
> ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
> sebelepsim kvizem spolehlive objevit nepodari.
>
> Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
> nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
> toho, kdo si ho vybral.
>
> Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
> ze lze doufat v nejaky "how-to" navod ...
>
Jasne. Rizika si musi kazdej posoudit sam a zvolit pristup vhodnej pro
to ktere nasazeni.
Spis jsem reagoval na to, ze tady byla treba rec o honeypotech, coz je
vec, k jejimuz nasazeni
jsem se nikdy nedokopal, takze by me dost zajimalo, jake utoky tam lidi
nejcasteji
chytaji a specialne jake je mnozstvi utoku cilenych specificky na FreeBSD.
Protoze clovek by mohl venovat pozornost zabezpeceni neceho, na co se
realne neutoci
a zanedbat neco, na co se utoci...
O howto mi nejde, spis o to, kdo povazuje jaky utok v jakem prostredi za
nejpravdepodobnejsi a jakou
ochranu voli.
M.
More information about the Users-l
mailing list