Miroslav Prýmek wrote: >> Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic >> driv nebo pozdejc nekde zapomenes.
> Ja tohle resim tokenem s neexportovatelnym klicem a ssh-agentem s > potvrzovanim pouziti klice. Jeste vic by se mi libilo > hw potvrzovaci tlacitko primo na tokenu, ale zadnej takovej jsem nikdy > nevidel. Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky, to ale byly platebni karty. Taky mam v obcance neexportovatelnej klic a USB ctecku hozenou u dokladu. Jenze ne na kazdem pocitaci si muzes instalovat potrebny ovladace ... > Spousta hesel zase vyzaduje nejake uloziste hesel Ja je mam v hlave. Takze samozrejme nemuzu mit pro kazde misto jiny, takovou kapacitu zase nemam, ale rozhodne jich mam vice nez jednotky. >> Takovej soubor nema byt vubec vzdalene dosazitelny. > To si jenom hrajes s definici pojmu "vzdalena dosazitelnost" - ty se k > tomu souboru taky nejak "vzdalene" dostanes, > jenom sloziteji ;) A to je presne to, co jsem mel namysli. Tys mluvil o tom, jak zaridit any soubor dostupny jen superuzivateli slo stahnout nejak "jednoduse". Ja namital, ze je diskutabilni ten samotny cil. "Spor" neni o tom, jestli maji byt zdalky pristupne, ale o tom, jestli je vubec vhodne se ten pristup snazit zjednodusit. > Ja bych byl za jakekoli prakticke informace o bezpecnosti FreeBSD velmi > vdecny. ... > Zvlast pokud by se nam podarilo z tech informaci potom vydestilovat nejake > pouceni S destilaty je to vzdycky komplikovany. Jejich bezpecny uzivani vyzaduje zkusenost, jinak z toho muze bejt serednej bolehlav nebo jeste neco horsiho. Muzu napsat co delam, pripadne proc prave tak, a muze nas to takhle udelat vic, ale ziskas tim "jen" sadu alternativnich pristupu. Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se sebelepsim kvizem spolehlive objevit nepodari. Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti toho, kdo si ho vybral. Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim, ze lze doufat v nejaky "how-to" navod ... Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
