PUTTY

Michal Kubecek mike na mk-sys.cz
Úterý Leden 25 11:49:01 CET 2005


On Tue, Jan 25, 2005 at 10:24:10AM +0100, Simeth, David wrote:
> Proste a jednoduse snizujete bezpecnost systemu, sice jen o maly
> stupinek ale i ten se pocita, a takovych stupinku bude urcite vic.
> Jednou Vam masinu nekdo abori a vy se budete ptat jak je to
> mozny?????.

Znovu a znovu: čím konkrétně snižujeme bezpečnost systému?

> Protoze mam pomerne dlouhodoby (mozna paranoidni) navyk ;), navic Vam 
> to tu nekdo uz vysvetlil ze je to nebezpecne. 

To pořád jen dokola opakujete, že je to hrozně nebezpečné. Ale ještě
jste neposkytl jediný faktický argument, kterým byste to zdůvodnil.

> Nemusite hadat login root-a jen heslo, na rovinu mate takove heslo 
> ze ho jackriper nerozlusti?

Rozluští, určitě rozluští. Jenže v době, kdy už ten server nejspíš
nebude fyzicky existovat. Ale na rovinu, při logování na roota
nepoužívám (a nepovoluji) heslo vůbec, jen autentizaci klíčem. 

Už jsem se setkal i s člověkem, který mi tvrdil, že pokud uživatele
s UID 0 nepřejmenuji na jiné jméno než 'root', zahrávám si s bezpečností
a že je to naprostá nutnost. Absurdní, že? Vaše představa se od té jeho
ale zase až tak moc neliší. Snaha dělat ze jména druhé heslo je
nesmyslná. Raději udělejte bezpečnější to heslo nebo používejte
autentizaci klíčem.

> Paklize se prihlasujete heslem a ne klicem je mozne odposlechnout
> komunikaci

Komunikaci sice odposlechnout můžete, ale přenášený stream zevnitř
nevytáhnete. Aspoň ne bez znalosti tajného klíče. Samozřejmě byste se
k ní dostal i v případě, že klient nebude ověřovat veřejný klíč serveru,
ale v takovém případě vás ani zákaz logování na roota nijak neochrání.

> Ja ciste ze zajmu vzdycky zbystrim, kdyz se nekdo predemnou zacne 
> prihlasovat a na vyzvu login: napise root.
>
> Kdyz se takhle ptate misto abyste si to dohledal, roota bych Vam
> nesveril.

Opět hodnotné argumenty. Někdo by zase nesvěřil roota člověku, který
FUDuje místo toho, aby řešil skutečné bezpečnostní problémy.

> Z Vaseho tonu stejne usuzuji ze nehodlate nad bezpecnosti premyslet a 
> nechcete slyset duvody proc to tak mit, proc bych se tedy zatezoval.

Naopak, já je slyšet chci, protože o tom přemýšlím a žádný bezpečnostní
důvod pro vaše chování jsem nenašel. Vy ty důvody ovšem ne a ne
poskytnout, takže si musím myslet, že žádné nejsou a jen si hrajete na
ultra-super-bezpečnost.

							  Michal Kubeček



Další informace o konferenci Linux