|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Pavel Marenyuk 2:5020/400 04 Dec 2002 18:54:26
To : Victor Wagner
Subject : Re: Security implications of ssh (Re: Telnet не логинит под рута)
--------------------------------------------------------------------------------
Привет всем, привет Victor.
Wed, 4 Dec 2002 13:04:30 +0000 (UTC) Victor Wagner wrote:
PM>>>> ssh - хорошее решение. Hо, в последнее время стал слишком модным, и ним
PM>>>> начинают злоупотреблять. В некоторых случаях его возможность форвардинга
PM>>>> является большей дырой, чем telnet/rsh. Hо про это, почемуто, не принято
PM>>>> говорить.
VW>>> Его возможнось форвардинга требует возможности авторизации (т.е. старта
VW>>> шелловской сессии). Поэтому это дыра класса local exploit (нагадить
VW>>> могут только в какой-то степени свои), а не класса remote exploit.
PM>> я не совсем про експлойты. Я про ситуацию ssh -L pop3:freehosting:pop3
PM>> mail.my.dom
VW> А чем это отличается от
VW> ssh mail.my.dom
VW> дожидаемся промпта
VW> mutt -f pop3://freehosting
Промптом. при shell=/usr/bin/passwd
VW> Либо ты не пускаешь юзеров на хосты, которые находятся вне твоего контроля
VW> вообще в том числе и по ssh, либо пускаешь, и тогда не надо создавать
VW> им дополнительных трудностей по части почитать домашнюю почту из офиса.
Личная почта - решаемо. Hапример fetchmail -> через специально обученый МТА.
посредством mutt -f imap://mail.my.dom/INBOX/private
VW> С юзером, который достаточно квалифицирован, чтобы держать дома машинку,
VW> куда пускают по ssh, бороться бесполезно. Его надо на свою сторону
VW> переманивать.
Это очевидно.
PM>> Само по себе это не страшно, но когда почта нвчинает ходить мимо
PM>> специально обученого МТА, а HTTP - мимо прокси то создается не
PM>> совсем здороавя , хотя и решаемая ситуация.
VW> Значит нужно специально обучить этот МТА, чтобы юзеры ПРЕДПОЧИТАЛИ
VW> пользоваться им а не какими-то левыми. То же самое касается прокси.
Прокси, при всей своей удобности, может создавать неудобства в виде
блокировки www.saxandvarez.com в рабочее время. МТА тоже может отстреливать
некоторые письма с, не совсем хорошими, аттачами.
--
Всем - всего
Павел pavlomr@hotmail.com
--- ifmail v.2.15dev5
* Origin: Gateway into void (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
