[devel] [JT] sshd == single point of failure?

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Пн Июл 31 11:09:45 MSD 2006 

On Mon, Jul 31, 2006 at 02:05:15AM +0400, Dmitry V. Levin wrote:
> > > > > > BTW, может иметь смысл вешать что-нить вроде бэкдорного
> > > > > > шелла с очень специфическими ограничениями доступа.  Тут
> > > > > > недавно присылали нечто подобное, забыл, <что>sh.
> > > > > Ой-ой-ой!!  Не нужно вешать бэкдорных шеллов.  Покайся!!
> > > > Знаешь, когда telnet уже тяжеловат (даже если аутентификация 
> > > > ещё не развалилась), поневоле задумаешься.  С айпишничка в
> > > > пределах свича.  Или вообще через кросс.  Или по сериалке.
> > > > Разумеется, если есть ещё один таз там же.
> > > Есть более традиционный, безопасный и надёжный подход:
> > > предварительно проверять изменения (в данном случае обновление
> > > системы) на стенде.
> > Жизнь на стенде не прокрутишь, обновлениями проблемы не
> > ограничиваются.
> sshd и то, что для него нужно, на стенде проверяется.
> Об этом ведь шла речь?

Не совсем.  Или ты также проверяешь его в условиях жёсткого
thrashing, когда попросту клиент по таймауту вываливается?
Т.е. машинка жива, но реагирует по полчаса.  И вот тот самый
nice -20 sh из Немет оказывается очень даже кстати, если до
него получается добраться.

Ещё бывают вариации на тему "сетевая со свичом жили-жили,
жили-жили, жили-жили, и вдруг упали", "раскручивали соседа
по стойке, зацепили eth0" и вполне достаточно других комбинаций,
чтобы не хотеть SPOF ни в виде sshd, ни в виде eth0 даже там,
где за город после часа простоя в багажнике не скатают.

Возможно, _дистрибутивным_ выходом может быть какой-нить dropbear
с задранным nice, висящий опять же на левом порту и строго на
эн-малое IP-адресов и пользователей.  Не знаю, какую из подобных
реализаций меньше полоскали по bugtraq на .

> В терминологии, предложенной на круглом столе, это небольшое
> множество софта называется "проигрыватель пластинок".

:>

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20060731/e00db457/attachment-0001.bin>

Подробная информация о списке рассылки Devel