Re: Více správců serveru - delegace root práv

[Dan Lukes]

Miroslav Prýmek wrote:
>> Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic
>> driv nebo pozdejc nekde zapomenes.

> Ja tohle resim tokenem s neexportovatelnym klicem a ssh-agentem s
> potvrzovanim pouziti klice. Jeste vic by se mi libilo
> hw potvrzovaci tlacitko primo na tokenu, ale zadnej takovej jsem nikdy
> nevidel.

Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl
potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky,
to ale byly platebni karty.

Taky mam v obcance neexportovatelnej klic a USB ctecku hozenou u
dokladu. Jenze ne na kazdem pocitaci si muzes instalovat potrebny
ovladace ...

> Spousta hesel zase vyzaduje nejake uloziste hesel

Ja je mam v hlave. Takze samozrejme nemuzu mit pro kazde misto jiny,
takovou kapacitu zase nemam, ale rozhodne jich mam vice nez jednotky.

>> Takovej soubor nema byt vubec vzdalene dosazitelny.

> To si jenom hrajes s definici pojmu "vzdalena dosazitelnost" - ty se k
> tomu souboru taky nejak "vzdalene" dostanes,
> jenom sloziteji ;) A to je presne to, co jsem mel namysli.

Tys mluvil o tom, jak zaridit any soubor dostupny jen superuzivateli slo
stahnout nejak "jednoduse". Ja namital, ze je diskutabilni ten samotny cil.

"Spor" neni o tom, jestli maji byt zdalky pristupne, ale o tom, jestli
je vubec vhodne se ten pristup snazit zjednodusit.

> Ja bych byl za jakekoli prakticke informace o bezpecnosti FreeBSD velmi vdecny.
...
> Zvlast pokud by se nam podarilo z tech informaci potom vydestilovat nejake pouceni

S destilaty je to vzdycky komplikovany. Jejich bezpecny uzivani vyzaduje
zkusenost, jinak z toho muze bejt serednej bolehlav nebo jeste neco horsiho.

Muzu napsat co delam, pripadne proc prave tak, a muze nas to takhle
udelat vic, ale ziskas tim "jen" sadu alternativnich pristupu.

Vybrat si z nich ten vhodny pro tvoji konkretni situaci uz neni takova
legrace. Kazdej trochu jinak hodnoti rizika a dokonce i stejna rizika v
ruznych prostredich znamenaji ruznou miru skody. A tuhle tajenku se
sebelepsim kvizem spolehlive objevit nepodari.

Dokonce i jen "presne" nasledovani ciziho postupu muze byt ve vysledku
nebezpecne, pokud zvoleny postup neodpovida urovni znalosti a zkusenosti
toho, kdo si ho vybral.

Tim rozhodne nechci rict, ze by tu o tom nemela byt rec, ale nemyslim,
ze lze doufat v nejaky "how-to" navod ...


Dan