On 12/30/2014 10:59 PM, Dan Lukes wrote:
Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl
potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky,
to ale byly platebni karty.
Ja to mam ted tak, ze mam klic v tokenu, do ssh-agenta zadam PIN a kde
co mam resene pres ssh-agenta* (nekde treba i tu autentizaci roota pres su),
takze mam dost vysokou jistotu, ze mi klic nikdo neukradne, maximalne ho
muze kratkodobe zneuzit, kdyz na tom stroji ziska roota (coz by mohl
udleat i s heslem).
Zadavani PINu na tokenu by byl pro me z hlediska UX krok zpatky, protoze
ted mi staci dat enter. Takze muj token snu by obsahoval jenom jedno
tlacitko,
kdyz by mel neco podepsat, tak by se rozsvitil a nepodepsal, dokud by
clovek nestiskl tlacitko. Tim by se vyrazne snizila moznost zneuziti a
snadnost
pouziti zustala stejna. Takovy token jsem ale jeste nevidel a neni mi
moc jasne, proc se nevyrabi.
* mimochodem, kdyz jsme u toho, zkusil jsem naprogramovat takovy
proof-of-concept, jak pomoci ssh-agenta elegantne sifrovat
a docela rozumne bezpecne spoustet programy s citlivou konfiguraci:
https://github.com/mprymek/cagent
Jestli byste nekdo meli cas se na to podivat a dat mi zpetnou vazbu,
byl bych moc vdecnej. Zadnym review to neproslo a nijak
zvlast si v tomhle neverim, takze na nic kritickyho to nepouzivam...
Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
sebelepsim kvizem spolehlive objevit nepodari.
Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
toho, kdo si ho vybral.
Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
ze lze doufat v nejaky "how-to" navod ...
Jasne. Rizika si musi kazdej posoudit sam a zvolit pristup vhodnej pro
to ktere nasazeni.
Spis jsem reagoval na to, ze tady byla treba rec o honeypotech, coz je
vec, k jejimuz nasazeni
jsem se nikdy nedokopal, takze by me dost zajimalo, jake utoky tam lidi
nejcasteji
chytaji a specialne jake je mnozstvi utoku cilenych specificky na FreeBSD.
Protoze clovek by mohl venovat pozornost zabezpeceni neceho, na co se
realne neutoci
a zanedbat neco, na co se utoci...
O howto mi nejde, spis o to, kdo povazuje jaky utok v jakem prostredi za
nejpravdepodobnejsi a jakou
ochranu voli.
M.
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
