Miroslav Prýmek wrote: > do ssh-agenta zadam PIN a kde co mam resene pres ssh-agenta
Ja mam ssh-agenta v hlave zapsanyho s velkym cervenym vykricnikem. Je to sice dlouho a detaily uz si nepamatuju, ale zhruba slo o to, ze data do nej vlozena (vetsinou heslo, v tvem pripade mozna ten PIN) z nej slo vytahnout. Predpokladam, ze to je problem, ktery davno vyresili, presto mam stale za to, ze to heslo radsi petkrat po sobe zadam ... Nemluve o tom, ze tim mam jasnejsi prehled kdy je to heslo pouzivano. Se ssh agentem by se mohlo stat, ze bude heslo pouzito aniz si toho budu vedom (ani on nema to tlacitko na tokenu, po kterem volas). > kdo povazuje jaky utok v jakem prostredi za nejpravdepodobnejsi a jakou > ochranu voli. K tomu toho mozna az tak moc uzitecneho neprinesu. Mnou spravovany stroj jeste uspesne napaden nebyl (ledaze to bylo natolik uspesne, ze se na to vubec neprislo). Vzdycky mi pripadalo, ze slozita protiopatreni zvysuji bezpecnost spis jen malo, ale hodne zvysuji riziko souvisejici s chybami v konfiguraci tehle slozitejsich reseni. A rada tehle opatreni navic otevira snadnou cestu pro DoS utoky. Takze jsem vzdycky byl priznivcem jen te nejednodussi ochrany. Kdyz firewall, tak minimalisticky a urcite nestavovy. SSH klidne i na standardnim portu, autentizace staci i jen heslem. Pouze na superuzivatele se prihlasit primo neda. Na nekterych strojich mam PAM modul, kterej hlida pocet neuspesnych prihlaseni z jedne IP a nedovoli nejakou dobu dalsi, pokud je limit prekrocen. Primerenou fyzickou ochranu stroje mam za samozrejmou. Mam dojem, ze to na infrastrukturnich strojich (strojich bez uzivatelu) takhle staci. Mel jsem to tak i jako spravce ve financni instituci, byt' od toho uz nejakej ten patek uplynul, utoky se sofistikovaly a dneska uz bych to musel zhodnotit znovu ... Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
