On Thu, 2 Dec 2004, Liviu Daia wrote: > In esenta, solutia authpf functioneaza in felul urmator: > > O clasa de user-i primesc conturi pe server, avand authpf ca shell. > Solutia presupune ca acesti user-i nu se pot log-a la server altfel > decat prin ssh, conditie usor de asigurat. In momentul in care un > astfel de user se log-eaza la server (cum spuneam, prin ssh), pe server > este executat authpf. Acesta face exact trei lucruri: > > (a) adauga in firewall o regula care permite IP-ului de la care s-a > log-at user-ul respectiv sa treaca; > > (b) scrie un mesaj user-ului prin care il anunta ca are viitorul in > fata, dupa care asteapta; > > (c) in momentul in care conexiunea ssh se intrerupe (din orice motiv, > fie pentru ca user-ul a inchis putty, fie pentru ca a cazut legatura > fizica, fie din alte cauze), authpf sterge regula de la (a) si iese. > > Prin ssh nu se face deci decat autentificarea, iar IP-ul respectiv > are iesire la Internet exact atat timp cat legatura ssh este activa. > Restul povestii tine de optimizari si managementul parolelor.
Care e in esenta ce facusem eu pt un netcafe acum 5 ani. Numai ca eu faceam totul printr-o pagina web si foloseam linux/ipchains. > Nu, atat timp cat intr-o retea nu pot exista simultan mai multe > masini cu acelasi IP. Iar daca omori masina cuiva in timp ce bietul om > este log-at, ii omori si legatura ssh. Consider acceptabil faptul ca trebuie sa ai sesiune activa SSH. Desi daca nu face keepalives sesiunea poate fi pastrata fara sa fie nevoie ca la IP-ul care a stabilit sesiunea sa mai fie sistemul care a facut acest lucru. AFAIK poti tine o conexiune TCP alive fara sa trimiti un packet in nici o directie pt ore intregi. Deci ai fi vulnerabil la IP takeover, dar sa zicem ca e acceptabila solutia. > Cum spuneam: tunelele. Dar in acelasi timp cu tunel esti mai safe, vezi problema explicata mai sus. -- Mihai RUSU Email: [EMAIL PROTECTED] GPG : http://dizzy.roedu.net/dizzy-gpg.txt WWW: http://dizzy.roedu.net "Linux is obsolete" -- AST --- Detalii despre listele noastre de mail: http://www.lug.ro/
