El mié, 13-09-2006 a las 12:42 -0300, Ricardo Frydman Eureka! escribió: > El mié, 13 de sep de 2006, a las 05:33:37 +0200, Antonio Trujillo Carmona > dijo: > > El mié, 13-09-2006 a las 14:38 +0200, Iñaki escribió: > > > El Miércoles, 13 de Septiembre de 2006 14:35, Ricardo Frydman Eureka! > > > escribió: > > > > El mié, 13 de sep de 2006, a las 12:54:43 +0200, Antonio Trujillo > > > > Carmona > > > > dijo: [...] > > > > > > > > > te puedes ayudar de ssh y sudo > > > > > con ssh y generando claves sin clave se puede entrar en la otra > > > > > maquina > > > > > > > > Podrias ampliar un poco el concepto de "generar claves sin clave"? > > > > > > Supongo que se refiere a generar claves con frase de paso nula. > > > > > Exacto, ejecutas keygen y cuando te pide una clave no escribes nada y > > pulsas intro > > Gracias por aclararmelo; es lo que me temía. > > Eso seria algo asi como tener una puerta, pero siempre abierta y sin llaves. > Yo no lo considero así pues solo el usuario de una maquina determinada puede acceder a la otra maquina como un usuario determinado y este solo puede hacer lo que se diga en el sudo (incluso podrías poner la orden en el /etc/passwd y solo ejecutaría esa orden y saldría) la seguridad del protocolo ssh (y de su directorio el ~/.ssh) la considero satisfactoria, ningún otro usuario puede usar la llave generada (si tiene otro permiso distinto del 600 no funciona) y, aunque la seguridad del sudo creo que es menos fiable yo la considero valida dependiendo del entorno de trabajo. La clave que no se pone es para lectura de la llave y solo comprometería en el caso de estar instalada en un equipo que se deje desatendido y alguien desde ese equipo aprovechara el descuido para saltar al otro y en este otro el usuario tuviera permitido algo como "sudo su", pero mientras que se restrinja el pasa a usuarios con privilegios limitados (incluso se genere un usuario especifico) para que sirva de entrada a un programa que se esta ejecutando como otro usuario determinado en otra máquina, no creo que suponga ningún riesgo. Para comprometer a una maquina por este medio primero habría que invadir la maquina "cliente", conseguir adquirir la identidad del que esta autorizado a conectarse a la otra (ese usuario puede incluso no tener asignado un interprete), entonces entrar en la otra maquina y en esta (que se supone que el usuario esta muy restringido, incluso no tener asignado un interprete si no que ejecute el programa directamente o estar en un chroot) conseguir un interprete y desde ese usuario conseguir atacar o hacer algo a lo que uno no esta autorizado, en total para la CIA puede que sea un agujero de seguridad, para mi casa donde estamos yo mi mujer y mis dos niños es mas que sobrado, para tu caso es cosa de que lo sopeses, pero como la pregunta empezaba diciendo que necesita que un programa ejecute algo en otro ordenador, este mismo concepto ya es un agujero de seguridad, lo demás depende del entorno de trabajo, si no ver si se justificaría montar un sistema con kerberos, y si se es muy paranoico pues se mezclan los dos sistemas y además le ponemos certificaciones pgp validadas con algún control biométrico (el iris mas la huella por ejemplo).
-- Antonio Trujillo Carmona <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
