Здравствуйте. On Thu, 18 Dec 2008 17:05:22 +0300 Artem Chuprina <[email protected]> wrote: > DBA> Именно поэтому после него идет аутентификация по PKI ;) > > Угу. А теперь подумай, что будет, если этот shared secret > скомпрометирован (украли одну из машин, которая его знала). > > Правильно, ситуация становится эквивалентной ситуации "его нет вообще" > на время, необходимое для доведения нового секрета до всех остальных > машин _по альтернативному каналу связи_. Либо, если угроза > проникновения с украденной машины выше, все остальные лишаются доступа > на то же самое время. Согласен. Shared key - фактически лишь защита от флуда и от "посторонних глаз", больше никак её рассматривать нельзя. И с этой задачей он справляется вполне неплохо.
Я лишь предлагаю использовать openvpn для доступа к некой промежуточной сети, из-под которой уже можно входить на ssh серверов. Контролировать одну маленькую внутреннюю сеточку намного проще, чем весь интернет.. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
