Re: Více správců serveru - delegace root práv

[Dan Lukes]

Miroslav Prýmek wrote:
> do ssh-agenta zadam PIN a kde co mam resene pres ssh-agenta

Ja mam ssh-agenta v hlave zapsanyho s velkym cervenym vykricnikem. Je to
sice dlouho a detaily uz si nepamatuju, ale zhruba slo o to, ze data do
nej vlozena (vetsinou heslo, v tvem pripade mozna ten PIN) z nej slo
vytahnout.

Predpokladam, ze to je problem, ktery davno vyresili, presto mam stale
za to, ze to heslo radsi petkrat po sobe zadam ...

Nemluve o tom, ze tim mam jasnejsi prehled kdy je to heslo pouzivano. Se
ssh agentem by se mohlo stat, ze bude heslo pouzito aniz si toho budu
vedom (ani on nema to tlacitko na tokenu, po kterem volas).

> kdo povazuje jaky utok v jakem prostredi za nejpravdepodobnejsi a jakou ochranu voli.

K tomu toho mozna az tak moc uzitecneho neprinesu. Mnou spravovany stroj
jeste uspesne napaden nebyl (ledaze to bylo natolik uspesne, ze se na to
vubec neprislo).

Vzdycky mi pripadalo, ze slozita protiopatreni zvysuji bezpecnost spis
jen malo, ale hodne zvysuji riziko souvisejici s chybami v konfiguraci
tehle slozitejsich reseni. A rada tehle opatreni navic otevira snadnou
cestu pro DoS utoky.

Takze jsem vzdycky byl priznivcem jen te nejednodussi ochrany. Kdyz
firewall, tak minimalisticky a urcite nestavovy. SSH klidne i na
standardnim portu, autentizace staci i jen heslem. Pouze na
superuzivatele se prihlasit primo neda. Na nekterych strojich mam PAM
modul, kterej hlida pocet neuspesnych prihlaseni z jedne IP a nedovoli
nejakou dobu dalsi, pokud je limit prekrocen. Primerenou fyzickou
ochranu stroje mam za samozrejmou.

Mam dojem, ze to na infrastrukturnich strojich (strojich bez uzivatelu)
takhle staci. Mel jsem to tak i jako spravce ve financni instituci, byt'
od toho uz nejakej ten patek uplynul, utoky se sofistikovaly a dneska uz
bych to musel zhodnotit znovu ...


Dan