On 2009.10.01 at 13:25:07 +0400, Dmitri Samsonov wrote: > Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня > неправильно поняли как "две двери подряд". (-: > Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не > логичнее ли иметь у себя на связке два ключа: один от парадного входа, > другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так > будет делать?
Тут вопрос в том, что у черного хода вообще-то немножко другой адрес, чем у парадного. По крайней мере - другие географические координаты. Соответсвенно, мы всегда можем однозначно определить - пришли мы с черного хода, или с парадного, и достать соответствующий ключ. > И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с > другим замком. Можно. Если мы до того, как сунем ключ в замочную скважину, сумеем отличить черный ход от парадного. Вариантов предложили аж три 1. Разные IP-адреса. 2. Разные порты 3. Разные имена хостов, резолвящиеся в тот же IP. В последнем варианте, кстати, проверка ключа позволяет определить, та ли операционная система, загружена на компьютер. То есть надо определиться с тем, считаем ли мы разные системы, загруженные на данной железяке разными дверьми или одной. Если они разные, то там должны быть разные ключи. Но при этом должен быть способ указать, в какую именно систему мы идем. Если это одна машина, и мы хотим туда попадать независимо от того, какая именно система там загружена, то корректной аналогией будет не парадный и черный ход, а легкосъемная дверь, которую кто-то, кто в этот момент сидит дома, по своему усмотрению меняет на один из нескольких вариантов. Причем внешне двери выглядят совершенно одинаково. Cоответственно, приходим мы домой, вынимаем три ключа и начинаем по очереди пробовать. Неудобно как-то получается. Так что если хочется считать что это одна и та же система, и иметь на ней один и тот же IP и sshd на одном и том же порту, то ключи должны быть одинаковыми. Потому что - что собственно удостоверяет проверка host key в ssh - то, что мы попали действительно на машину с тем IP-адресом и портом, на которую собирались попасть. > Не повод ли это для багрепорта? > > -- > Dmitri Samsonov > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
