On 12/29/14 23:15, Miroslav Prýmek:
pokud se k tomu uctu prihlasujes klicem, je pravdepodobnost prolomeni astronomicky nizka.
Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic driv nebo pozdejc nekde zapomenes. Nebo ti ho z pocitace odesle nejaky virus, ty takove veci zajimaji - a ono se neda stoprocentne spolehnout, ze zadnej nechytis.
A to je pomerne neprijemny. Zatimco pokusy o vzdalene prolomeni hesla jsou alespon teoreticky v LOGu zachytitelne a pocet pokusu za jednotku casu se da omezit, zkouseni passphrase ke ztracenemu klici je neviditelne a lze ho delat velmi rychle. To, ze's o klic nekde nejak prisel jen tak nezjistis, a jeho vlastni zneuziti bude mit podobu jednoho uspesneho pokusu o prihlaseni.
Ano, klic ma mensi riziko ztraty. Ale pokud k tomu dojde je mensi i sance, ze na ztratu prijdes driv, nez dojde k podstatnym skodam.
V neposledni rade, takovej klic asi budes mit jed jeden jedinej. Jeho pripadna ztrata je pak absolutnim prusvihem.
Kdezto kdybys chtel ziskat superuzivatelsky pristup ke vsem strojum, o ktery se staram ja, potreboval bys vic hesel nez ma ruka prstu.
Nehadam se, ze to je bezpecnejsi - kazdy zpusob resi lip trochu jiny rizika.
Ale ano, pokud pouzivas tentyz klic pri pristup k standardnim i superuzivatelskym uctum a moznost autentizace heslem mas zcela znemoznenou, pak skutecne nema dvoji autentizace smysl (protoze dvoji ve skutecnosti neni).
Tech pripadu, kdy to zdrzuje, je vic. Napr. si chces stahnout soubor citelny jenom rootem
Takovej soubor nema byt vubec vzdalene dosazitelny. Takze kdyz ho chci, tak se tam prihlasim, SUcknu a pak ho tamodsud odeslu. Pri nahodne jednorazovky to staci.
A pokud chci soubor zpristupnit trvale "ven" a jeho nizsi bezpecnost mi nevadi (coz nevadi, kdyz jsem se rozhodl ho zdostupnit ven), no tak to ho pak ucinim citelnym i vhodnemu beznemu uzivateli.
Donedavna jsem mel v blokovaci tabulce radove 200 - 300 polozek, ale posledni dobou se to radikalne nafukuje. Dnes jich tam mam cca 2,5 tis.
To je jeden problem. Pokud paket prochazi prilis velkym mnozstvim pravidel, celkova pruchodnost klesa. Tady se to jeste zvladnout da - pridana pravidla budou 'deny ... setup' a 'allow ... established' musi byt nad nimi, ale uz se na to musi davat pozor.
nepodchyti utoky, ktere jsou vedene asi nejakym botnetem (jinak si neumim vysvetlit efektivitu takoveho pocinani), kde jsou pokusy o prihlaseni vedene pokazde z jine IP adresy.
To je druhy problem. Botnety se dneska pouzivaji dost bezne. .
A to naprosto nechapu, jaky ze uzitek by mohl mit nekdo z hacknuti meho routeru (pripadne nektereho mikrotiku u meho zakaznika), ze je takovy utok vedeny prakticky nepretrzite.
I tak je to napriklad anonymizer. Taky to je IP ze ktery lze posilat SPAMy (nez se dostane do blacklistu, tak to chvili trva). I na nevykonem pidistroji lze provozovat jednoduchy WWW server - a kdyz ty lidi emailem presvedcujes at nekam zadaji informace ze svych platebnich karet nebo prihlasovaci udaje k bankovnictvi tak potrebujes nejaky server, ktery tu obsahy formularu prijima a predava dal. V neposledni rade se muzes stat clenem botnetu a z teto IP se budou pokouset prolomit na ucty jinde.
Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
