Автор Тема: как да stunnel или openssh мозила  (Прочетена 6159 пъти)

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: как да stunnel или openssh мозила
« Отговор #15 -: Jun 14, 2009, 19:01 »
Имам предвид следното: примерно имаш лаптоп с който се връзваш до машина на твоята работа (да речем малка фирма с няколко десетки десктопа, мейл сървър, файлов сървър, уеб сървър и т.н.). Понеже не искаш идиоти да се опитват да ти bruteforce-ват пароли си разрешил само key-базирана автентикация. Оттам за удобство си разменил ключове и от тази машина можеш да се връзваш без парола до уеб сървъра, мейл сървъра и т.н.

И някой хубав ден примерно ти открадват лаптопа и преглеждат докъде си се връзвал (в known hosts). Връзват се без парола до машината на твоята работа, оттам по същия начин до уеб сървъра, мейл сървъра и т.н.И така се сдобиват с контрол върху няколко машини без никакъв зор, без да се възползват от дупки в софтуера, сбъркани конфигурации и т.н.
Активен

"Knowledge is power" - France is Bacon

eniac111

  • Напреднали
  • *****
  • Публикации: 263
  • Distribution: Debian / Ubuntu
  • Window Manager: Enlightenment DR16 / KDE4
    • Профил
    • WWW
Re: как да stunnel или openssh мозила
« Отговор #16 -: Jun 14, 2009, 21:59 »
Няма ли да е по- лесно с някакъв VPN?
Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Re: как да stunnel или openssh мозила
« Отговор #17 -: Jun 15, 2009, 09:13 »
Цитат
И някой хубав ден примерно ти открадват лаптопа и преглеждат докъде си се връзвал (в known hosts). Връзват се без парола до машината на твоята работа, оттам по същия начин до уеб сървъра, мейл сървъра и т.н

... и всичко това, защото си мързелив и не си сложил passphrase на частния си ключ...
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: как да stunnel или openssh мозила
« Отговор #18 -: Jun 15, 2009, 10:44 »
Това не е за мързеливи хора наистина, ако ще слагам passphrase, по-добре да си карам на password автентикация, ще си спестя пействането на ключове :)

Макар че сериозно, това е най-добрият вариант, така downgrade простотията отпада, докато завземането на частните ключове не води до придобиване на контрол върху други системи.
Активен

"Knowledge is power" - France is Bacon

teh

  • Напреднали
  • *****
  • Публикации: 56
    • Профил
Re: как да stunnel или openssh мозила
« Отговор #19 -: Jun 15, 2009, 14:09 »
gat3way, shame on you.

http://en.wikipedia.org/wiki/Ssh-agent
http://en.wikipedia.org/wiki/Seahorse_(GNOME)
http://live.gnome.org/Seahorse
http://live.gnome.org/Seahorse/SessionIntegration

Отделно това с версията на ssh протокола е малко старо. Почти всяка нова инсталация идва с поддръжка само на версия 2. Отделно ако като повечето хора правиш връзка към сървърите си от 1 машина то и в настройките на OpenSSH клиента (/etc/ssh/ssh_config) също има Protocol опция. На мен това ми е една от първите работи като инсталирам такава - да проверя дали стои само "2" там.
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: как да stunnel или openssh мозила
« Отговор #20 -: Jun 15, 2009, 15:02 »
То това е бая старо, обаче примерно openssh клиента все още си идва по дефолт конфигуриран да ползва и двете версии на протокола,поне като гледам на Debian Lenny и на Centos 5.3 системи де. Просто реда, който указва протокола е коментиран, а в man-a на ssh_config пише следното:

Цитат
Protocol
             Specifies the protocol versions ssh should support in order of preference.  The possible
             values are “1” and “2”.  Multiple versions must be comma-separated.  The default is “2,1”.
             This means that ssh tries version 2 and falls back to version 1 if version 2 is not avail-
             able.

При което ако не го промениш на "2" (както казваш де), тъпотията е възможна.


Същото важи и за sshd_config, обаче там наистина новите инсталации идват с указано Protocol 2 в sshd_config-a. Което е хубаво, защото версия 1 на протокола не е добра идея. Обаче това всъщност няма отношение към проблема.
Активен

"Knowledge is power" - France is Bacon