On 2008.12.17 at 14:56:43 +0300, Denis B. Afonin wrote: > Здравствуйте. > > On Wed, 17 Dec 2008 12:38:19 +0200 > Игорь Чумак <i.chu...@generali.garant.ua> wrote: > > > PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь > > > мир :) > > И чем это им (идиотам) грозит? > Минимум - постоянные посторонние записи в логах от ботов, пытающихся > подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все > равно анализировать такие логи на попытки несанкционированного доступа > врядли будет делом приятным). > > Ну а воспалённый мозг параноика может многое придумать ;) > Есть мнение, что системы безопасности должны строиться так, чтобы > выложенный на свободный доступ расшифрованный /etc/shadow ничем > никому помочь не мог..
Ну так это PasswordAuthentication no в /etc/sshd/sshd_config. И пусть уподбираются. Естественно, на каждом носимом с собой устройстве (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный ключ, который в случае утраты данного устройства можно оперативно из всех authorized_keys поотрывать. Лучше б, конечно PKI туда прикрутить, чтобы отзывать ключ централизовано. Но имеющиеся патчи для прикрутки PKI к ssh мне что-то не очень понравились. Особенно в условиях, когда на некоторую машину имеют доступ разные люди, каждый из которых хочет менеджить свои ключи сам (потому что ходит по этим ключам на N машин под разной административной ответственностью). В такой конфигурации у меня, любимого есть возможность попасть на машину из любой кафешки с wi-fi и через GPRS любого сотового оператора. А супостату для этого потребуется 1. Стырить мой ноутбук/телефон/наладонник 2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и оторву соответствующие ключи воспользовавшись доступом с другого носимого устройства. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org