- I tried to telnet to it, but it gave me an error message. - We disable telnet for security reasons. - Ok. I can ssh instead. Which login should I use? - Use root.
Ну а что, нормальный диалог. В принципе, не так, чтобы особый WTF, такая политика безопасности вполне имеет право на существование. SSH (даже с разрешённый для root-а) всяко лучше, чем telnet.
Согласен, есть немного. Но всё-таки с упором на "немного", а не на "есть". А уж по сравнению с plain text в телнете... ;-)
Грубо говоря, ну хорошо, залогинишься ты не как root, а как vasya. А дальше? Сделаешь 'sudo su'? ;-) Чем это с точки зрения безопасности лучше, чем сразу логиниться как root? От подбора паролей точно так же не спасает. От клавиатурных шпионов - тоже. А в чём point тогда?
Опять же, вполне возможно настроить sshd так, чтобы он рутовские логины принимал только с доверенной подсетки, верно? У нас, кстати, так на кафедре системщики сделали - из внутренней сети рутовые логины разрешены, а снаружи - нет. Классический trade-off между безопасностью и надёжностью. На атомной станции я бы такое не разрешал (и, скажем, на открытом всему миру chgk.info тоже не разрешаем), а на расчётном кластере - пуркуа бы и не па?
Вообще фишка в том, что речь идет об изолированной от окружающего мира лаборатории. Попасть к нам снаружи практически невозможно. На нашем оборудовании вообще одинаковый password стоит, чтобы мозги не засорять. А вендоры выпендриваются со своей security. При этом, когда их таки на безопасность тестируют, оказывается, что у них куча левых портов открыты - заходи, не хочу. А логиниться не под root нужно, говорят, чтобы случайно чего не напортачить. Я всегда под root захожу, потому как, сама напортачу, самой же и чинить придется.
Но в данном конкретном случае меня просто контраст позабавил :)
А, если в таком контексте и предысторией, то да ;-). Особенно аргумент насчёт портаченья умиляет. "Да, можешь заходить и менять системные настройки. Но не под root-ом" ;-)
Хотя на старуху таки бывает иногда проруха. Я тут давеча с недосыпу плохо сделал file name completion, и вместо "rm xxx*' сотворил 'rm xxx *'... один лишний пробел, а как славно стёр все файлы из домашней директории. Успел только порадоваться, что без '-r' ;-). Хорошо, что у нас все машины еженочно бэкапятся, так что всё вернулось как надо.
Лев, у меня нет столь глубоких познаний как у тебя и Риммы в этой области, но тут просто детский сад. Использования root логин, даже через SSH при упоре на network security не имеет особого смысла. Да, защита гораздо сильнее чем в telnet (которой там в общем и нет), но какой в ней смысл, если вместо административных или юзерных счетов пользоваться root-ои? Может это и не позволит дать полную гарантию от взлома, но по крайней дополнительный уровень безопасности.
Паш, секьюрити - она же многогранная и многоуровневая. Ну например, такое разбиение: - защита от несанкционированного доступа извне (так сказать, внешняя безопасность). - защита от несанкционированных (или потенциально деструктивных) действий уже залогиненных пользователей (внутренняя безопасность и защита от дурака).
SSH не относится к мерам внутренней безопасности. Он обеспечивает один из элементов внешней безопасности (невозможность перехватить и подслушать твой траффик, включая исходный обмен логином и паролем). И в этом смысле
А то, что ты написал выше (фактически, про разделение прав и привилегий пользователей, уровни доступа, и т.д.), относится к безопасности внутренней. Ну да, безопаснее повседневную работу делать под обычным пользователем, а не рутом. Если и напортачишь, то вреда системе нанесёшь меньше. НО! Не забывай, что есть категория людей, которым надо работать именно под рутом. Это админы, которым надо менять настройки, верно? Римма в данном случае к ним относилась. И в этом случае использование root-логина вполне оправдано. И не "даже через SSH", а ТОЛЬКО через SSH. Чтобы я рутовый пароль в чужой сети чистым текстом гнал? Да ни в жизнь. Я и в домашней-то на файервол по нему захожу ;-)
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2008-06-04 09:26 pm (UTC)no subject
Date: 2008-06-04 09:42 pm (UTC)no subject
Date: 2008-06-05 02:00 am (UTC)Грубо говоря, ну хорошо, залогинишься ты не как root, а как vasya. А дальше? Сделаешь 'sudo su'? ;-) Чем это с точки зрения безопасности лучше, чем сразу логиниться как root? От подбора паролей точно так же не спасает. От клавиатурных шпионов - тоже. А в чём point тогда?
Опять же, вполне возможно настроить sshd так, чтобы он рутовские логины принимал только с доверенной подсетки, верно? У нас, кстати, так на кафедре системщики сделали - из внутренней сети рутовые логины разрешены, а снаружи - нет. Классический trade-off между безопасностью и надёжностью. На атомной станции я бы такое не разрешал (и, скажем, на открытом всему миру chgk.info тоже не разрешаем), а на расчётном кластере - пуркуа бы и не па?
no subject
Date: 2008-06-05 03:46 am (UTC)Но в данном конкретном случае меня просто контраст позабавил :)
no subject
Date: 2008-06-05 04:10 am (UTC)Хотя на старуху таки бывает иногда проруха. Я тут давеча с недосыпу плохо сделал file name completion, и вместо "rm xxx*' сотворил 'rm xxx *'... один лишний пробел, а как славно стёр все файлы из домашней директории. Успел только порадоваться, что без '-r' ;-). Хорошо, что у нас все машины еженочно бэкапятся, так что всё вернулось как надо.
no subject
Date: 2008-06-05 04:02 am (UTC)no subject
Date: 2008-06-04 09:30 pm (UTC)no subject
Date: 2008-06-05 01:42 am (UTC)Услышали красивое словосочетание "network security"...
no subject
Date: 2008-06-05 02:02 am (UTC)no subject
Date: 2008-06-05 06:43 am (UTC)no subject
Date: 2008-06-05 07:53 am (UTC)- защита от несанкционированного доступа извне (так сказать, внешняя безопасность).
- защита от несанкционированных (или потенциально деструктивных) действий уже залогиненных пользователей (внутренняя безопасность и защита от дурака).
SSH не относится к мерам внутренней безопасности. Он обеспечивает один из элементов внешней безопасности (невозможность перехватить и подслушать твой траффик, включая исходный обмен логином и паролем). И в этом смысле
А то, что ты написал выше (фактически, про разделение прав и привилегий пользователей, уровни доступа, и т.д.), относится к безопасности внутренней. Ну да, безопаснее повседневную работу делать под обычным пользователем, а не рутом. Если и напортачишь, то вреда системе нанесёшь меньше. НО! Не забывай, что есть категория людей, которым надо работать именно под рутом. Это админы, которым надо менять настройки, верно? Римма в данном случае к ним относилась. И в этом случае использование root-логина вполне оправдано. И не "даже через SSH", а ТОЛЬКО через SSH. Чтобы я рутовый пароль в чужой сети чистым текстом гнал? Да ни в жизнь. Я и в домашней-то на файервол по нему захожу ;-)