On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote: > Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом > подбора/кражи пароля?
Помнится, какие-то секьюрити апдейты у openssh были. Не считая последнего, связанного с отрыванием случайности от openssl. > Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а > не гордиться. Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ. Особенно в сочетании со всем используемым openssh кодом - openssl, libc, tcpwrappers etc. К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет. > P.S. Сертификат против пароля - это стратегия "что имею" против "что знаю". И > само по себе > использование сертификата надежности не прибавляет и не убавляет. Надежности добавляет двухфакторная аутентификация. "что имею"+"что знаю". Даже если "что знаю" это просто пассфраза к секретному ключу в pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ. Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой ключики из памяти вычищались. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org