On 2007.12.04 at 20:06:41 +0300, Alexey Pechnikov wrote: > В сообщении от Tuesday 04 December 2007 14:50:02 Victor Wagner написал(а): > > А вот как был поднять getty на /dev/rfcommX? > > > > Т.е идея такая - организовать что-то типа dun, только присоединившееся > > устройство получает не ppp-сессию, а login prompt и консольную сесию в > > случае успешной авторизации. > > > > Мануал по dund читал, там ничего интересоного не написано. > > В мануале по rfcomm(1) описана опция --listen, но что произойдет, > > когда клиент таки придет, и куда лошадь (то есть getty) запрягать, не > > написано. > > > > Поднять ppp-сессию и ходить по ней телнетом/ssh не предлагать. > > А смысл? Не ясно, зачем работать на уровне канала, когда openvpn решает и эту > задачу, и многие другие.
Какую задачу она решает? Защиту канала от прослушивания? Мне это не надо. Мне нужно решить совсем другую задачу - гарантировать что никакие действия злоумышленника на машине, где крутится getty не могут привести к компрометации машины, которая логинится. Чем ниже уровень используется, тем меньше шансов, что где-то будет незакрыт на файрволле порт, где-то будет buffer overflow в драйвере etc. Как раз openvpn в данном случае хуже ssh и telnet, поскольку построение VPN предполагает что оба конца виртуальной сети доверяют друг другу. ppp без всяких vpn и заход телнетом - еще куда ни шло. Но - у обоих машин участвующих в соединении есть сеть. У той куда заходят - интернет, и естественно, нужно аккуратно не давать telnetd слушать не на ppp-интерфейсе. У второй машины, которая изображает из себя юзера, есть локалка с кучкой X-терминалов. И тут тоже придется городить прочный-прочный firewall закрывая со стороны ppp-интерфейса все, кроме 23-го порта. Нафиг мне это надо? Проще вообще TCP/IP там не иметь, а гонять голые 7-битные ASCII-символы. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
