Hello! В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а): > On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote: > > Вы можете назвать случаи, чтобы взламывали именно openssh-server и не > > методом подбора/кражи пароля? > > Помнится, какие-то секьюрити апдейты у openssh были. Не считая > последнего, связанного с отрыванием случайности от openssl.
Так секьюрити апдейты должны быть как раз превентивной мерой. Раз они выходят раньше, чем уязвимость начинают эксплуатировать, это лучший из _практически_ достижимых случаев (не считая идеального случая отсуствия уязвимостей - как багов реализации, так и ошибок алгоритмических). > > Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а > > не гордиться. > > Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ. > Особенно в сочетании со всем используемым openssh кодом - openssl, libc, > tcpwrappers etc. > > К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности > (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет. Да, но openssh это самое простое из обсуждаемых решений... > Надежности добавляет двухфакторная аутентификация. "что имею"+"что > знаю". Даже если "что знаю" это просто пассфраза к секретному ключу в > pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ. > > Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на > мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой > ключики из памяти вычищались. Вот насчет этого большие сомнения - меня, собственно, как раз это соображение останавливает от использования предлагаемого вами варианта. Да и присутствие юзера не гарантирует безопасности, все-таки лучше пароль не кэшировать. А так получается - сертификат на диске, пароль в памяти компьютера... Лучше уж просто пароль в памяти _пользователя_. Best regards, Alexey. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
