Dialogs

Jun. 4th, 2008 01:30 pm
riontel: (Default)
[personal profile] riontel
- I tried to telnet to it, but it gave me an error message.
- We disable telnet for security reasons.
- Ok. I can ssh instead. Which login should I use?
- Use root.
Tags:
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Date: 2008-06-04 09:26 pm (UTC)
From: [identity profile] Лев Горенштейн (from livejournal.com)
Ну а что, нормальный диалог. В принципе, не так, чтобы особый WTF, такая политика безопасности вполне имеет право на существование. SSH (даже с разрешённый для root-а) всяко лучше, чем telnet.

Date: 2008-06-04 09:30 pm (UTC)
From: [identity profile] cryowizard.livejournal.com
That's just cruel.

Date: 2008-06-04 09:42 pm (UTC)
From: [identity profile] riontel.livejournal.com
Возможно, но для меня это немного напоминает анекдот "или наденьте трусы, или снимите крестик".

Date: 2008-06-05 01:42 am (UTC)
From: [identity profile] lateonomen.livejournal.com
:) маразм.

Услышали красивое словосочетание "network security"...

Date: 2008-06-05 02:00 am (UTC)
From: [identity profile] Лев Горенштейн (from livejournal.com)
Согласен, есть немного. Но всё-таки с упором на "немного", а не на "есть". А уж по сравнению с plain text в телнете... ;-)

Грубо говоря, ну хорошо, залогинишься ты не как root, а как vasya. А дальше? Сделаешь 'sudo su'? ;-) Чем это с точки зрения безопасности лучше, чем сразу логиниться как root? От подбора паролей точно так же не спасает. От клавиатурных шпионов - тоже. А в чём point тогда?

Опять же, вполне возможно настроить sshd так, чтобы он рутовские логины принимал только с доверенной подсетки, верно? У нас, кстати, так на кафедре системщики сделали - из внутренней сети рутовые логины разрешены, а снаружи - нет. Классический trade-off между безопасностью и надёжностью. На атомной станции я бы такое не разрешал (и, скажем, на открытом всему миру chgk.info тоже не разрешаем), а на расчётном кластере - пуркуа бы и не па?

Date: 2008-06-05 02:02 am (UTC)
From: [identity profile] Лев Горенштейн (from livejournal.com)
А если не общими словами "да все они маразматики", а поконкретнее - обосновать можете?

Date: 2008-06-05 03:46 am (UTC)
From: [identity profile] riontel.livejournal.com
Вообще фишка в том, что речь идет об изолированной от окружающего мира лаборатории. Попасть к нам снаружи практически невозможно. На нашем оборудовании вообще одинаковый password стоит, чтобы мозги не засорять. А вендоры выпендриваются со своей security. При этом, когда их таки на безопасность тестируют, оказывается, что у них куча левых портов открыты - заходи, не хочу. А логиниться не под root нужно, говорят, чтобы случайно чего не напортачить. Я всегда под root захожу, потому как, сама напортачу, самой же и чинить придется.

Но в данном конкретном случае меня просто контраст позабавил :)

Date: 2008-06-05 04:02 am (UTC)
From: [identity profile] Лев Горенштейн (from livejournal.com)
s/надёжностью/удобством/

Date: 2008-06-05 04:10 am (UTC)
From: [identity profile] Лев Горенштейн (from livejournal.com)
А, если в таком контексте и предысторией, то да ;-). Особенно аргумент насчёт портаченья умиляет. "Да, можешь заходить и менять системные настройки. Но не под root-ом" ;-)

Хотя на старуху таки бывает иногда проруха. Я тут давеча с недосыпу плохо сделал file name completion, и вместо "rm xxx*' сотворил 'rm xxx *'... один лишний пробел, а как славно стёр все файлы из домашней директории. Успел только порадоваться, что без '-r' ;-). Хорошо, что у нас все машины еженочно бэкапятся, так что всё вернулось как надо.

Date: 2008-06-05 06:43 am (UTC)
From: [identity profile] lateonomen.livejournal.com
Лев, у меня нет столь глубоких познаний как у тебя и Риммы в этой области, но тут просто детский сад. Использования root логин, даже через SSH при упоре на network security не имеет особого смысла. Да, защита гораздо сильнее чем в telnet (которой там в общем и нет), но какой в ней смысл, если вместо административных или юзерных счетов пользоваться root-ои? Может это и не позволит дать полную гарантию от взлома, но по крайней дополнительный уровень безопасности.

Date: 2008-06-05 07:53 am (UTC)
From: [identity profile] Лев Горенштейн (from livejournal.com)
Паш, секьюрити - она же многогранная и многоуровневая. Ну например, такое разбиение:
- защита от несанкционированного доступа извне (так сказать, внешняя безопасность).
- защита от несанкционированных (или потенциально деструктивных) действий уже залогиненных пользователей (внутренняя безопасность и защита от дурака).

SSH не относится к мерам внутренней безопасности. Он обеспечивает один из элементов внешней безопасности (невозможность перехватить и подслушать твой траффик, включая исходный обмен логином и паролем). И в этом смысле

А то, что ты написал выше (фактически, про разделение прав и привилегий пользователей, уровни доступа, и т.д.), относится к безопасности внутренней. Ну да, безопаснее повседневную работу делать под обычным пользователем, а не рутом. Если и напортачишь, то вреда системе нанесёшь меньше. НО! Не забывай, что есть категория людей, которым надо работать именно под рутом. Это админы, которым надо менять настройки, верно? Римма в данном случае к ним относилась. И в этом случае использование root-логина вполне оправдано. И не "даже через SSH", а ТОЛЬКО через SSH. Чтобы я рутовый пароль в чужой сети чистым текстом гнал? Да ни в жизнь. Я и в домашней-то на файервол по нему захожу ;-)
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Profile

riontel: (Default)
riontel

December 2016

S M T W T F S
    123
45678910
11121314151617
1819202122 2324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 25th, 2026 09:46 pm
Powered by Dreamwidth Studios