SSH jen root
Michal Dobes
dobes na tesnet.cz
Sobota Duben 27 21:30:39 CEST 2002
Pavel Kankovsky wrote:
> > 2. Moznost vyuzivani onetime hesel (root byva u vetsich systemu
> > sdileny- uzivany vetsim pocet spravcu) kuprikladu generovanych pres
> > nejakou smart kartu
>
> Tim se mysli to, ze by root mel staticke heslo, zatimco ostatni meli OTP?
> Muze byt, ale kdyz uz bych fungujici OTP mel, to bych si spis jeste dal tu
> praci, aby to fungovalo i pro vic ruznych osob na jednoho roota.
Toho jde dosahnout. Pridelit vicero uzivatelum tokenky a oni se jimi
hlasi na roota. Proti odposlechu ok, pokud je na strane klienta neco,
co se pokusi prevzit spojeni, do spojeni vsounout vlastni komunikaci,
pripadne ho neuzavrit a pozdeji predt, tak je problem.
K tomuto reseni mam jeste dve poznamky:
Videl jsem nekolik reseni a snazil se je i aplikovat, ale pokud
centralni software pro spravu a autorizaci tokenu k tomu prstupuje
tak, ze sifrovaci klice a vse dulezite je v textovych souborech
s read/write pristupem pro kohokoliv, tak to je zabiti dodavatele.
Resitelne napsanim vlastniho softu, pro nektere tokeny i existuje
dostupne pouzitelne alternativy i se zdrojaky (byva obcas problem
s naprogramovanim tokenu).
A co se zivotnosti tech tokenu tyce, tak v mem pripade je prumerne
6 mesicu pri beznem noseni v predni kapse kalhot, kde je jeste mobil
a pager. Mechanicka odolnost nic moc. :-((
Ha, ted jsem si vzpomenul, budu muset podrazdit prodejce, nejak se ta
vymena chcipleho tokenu do 2-3 dnu protahla na 2 mesice.
Majkl
Další informace o konferenci Linux