В Чтв, 18/12/2008 в 20:56 +0300, Denis B. Afonin пишет: > Здравствуйте. > > On Thu, 18 Dec 2008 17:05:22 +0300 > Artem Chuprina <[email protected]> wrote: > > DBA> Именно поэтому после него идет аутентификация по PKI ;) > > > > Угу. А теперь подумай, что будет, если этот shared secret > > скомпрометирован (украли одну из машин, которая его знала). > > > > Правильно, ситуация становится эквивалентной ситуации "его нет вообще" > > на время, необходимое для доведения нового секрета до всех остальных > > машин _по альтернативному каналу связи_. Либо, если угроза > > проникновения с украденной машины выше, все остальные лишаются доступа > > на то же самое время. > Согласен. Shared key - фактически лишь защита от флуда и от > "посторонних глаз", больше никак её рассматривать нельзя. И с этой > задачей он справляется вполне неплохо. > > Я лишь предлагаю использовать openvpn для доступа к некой промежуточной > сети, из-под которой уже можно входить на ssh серверов. Контролировать > одну маленькую внутреннюю сеточку намного проще, чем весь интернет..
Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на всегда определиться в тем, что VPN и SSH это разные "вещи", они решают разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте вариантов решения конкретной задачи. SSH: даёт доступ на машину VPN: даёт доступ в сеть Разные ведь они. Слои безопасности тоже разные, очень зависит от задачи. -- Покотиленко Костик <[email protected]> -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
