Více správců serveru - delegace root práv

[Miroslav Prýmek]

On 12/29/2014 10:56 PM, Dan Lukes wrote:
> Rekneme, ze mas heslo dlouhe, dobre zvolene, takze pravdepodobnost, ze 
> se nekdo trefi je mala.
> [...]
> A tim se dostavame zpatky k logu. Zatimco hlasky:
> authentication error for ... from 115.231.222.171
>
> je dneska asi tak jedine mozny ignorovat, hlaska
>
> BAD SU ...
>
> je neco kardinalne jinyho. Obzvlast, pokud je tam za den vic nez petkrat.
>

Rozumim, spravnej argument. Ovsem pokud se k tomu uctu prihlasujes 
klicem, je pravdepodobnost prolomeni
astronomicky nizka. Takze se nam to realne smrskne jenom na tu ochranu 
pred chybou v ssh, jak jsem psal, ne?


>
> Myslis jako, kdyz je tam zdalky injektujes nejakym scriptem ? No, to 
> asi ano, ale na takovy script saham sotva jednou za cas. Takze me to 
> zas tak klavesnici neopotrebuje.
>

Tech pripadu, kdy to zdrzuje, je vic. Napr. si chces stahnout soubor 
citelny jenom rootem - pres scp timpadem nejde, leda
slozite pres ssh ... su -c cat ...

Vubec se o to nehodlam hadat :) zajimalo me jenom, jestli jsou nejake 
padne argumenty, proc ssh na roota nepouzivat.
Ja jsem (za podminky vypnute autentizace heslem) zatim zadne nenasel, 
proto se na to ptam.

>
>> Pokud clovek nema na vsech tech "roota autentizujicich" souborech 
>> nastaveny schg a securitylevel aspon 1, tak je to stejne celkem 
>> jedno, ne?
>
> Tahle bezpecnost ma uz i na me prilis vysokou cenu.

Pro me taky. Takze pak uz je celkem jedno, v jakem z root-only-writable 
souboru ty citlive veci jsou... :)

M.