Главная страница


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Ilya Anfimov                         2:5020/400     15 Aug 2005  16:54:13
 To : Eugene Grosbein
 Subject : Re: bsd для десктопов, продолжение сериала
 -------------------------------------------------------------------------------- 
 
 2005-08-15, Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> пишет:
 
 > 15 авг 2005, понедельник, в 14:47 KRAST, Ilya Anfimov написал(а):
 >
 >  IA>>  1)  Клавиатурные  снифферы  гораздо  легче запретить и отследить
 >  IA>> нежели "случайное" подключение с другими credentials.
 > >> Hе понял, как ты запретишь снифферы на тачке, с которой
 > >> кто угодно может сделать что попало.
 >  IA>  1) Сниффер сам по себе можно заметить.
 >  IA>  2) Стыренный пароль -- тоже. По "не тем" временам
 >  IA> логина, лишним пользователям имени тебя.
 >
 > Это у тебя называется "запретить"?
 
  Запрещать   будет,   естественно,   распоряжение   на  основании
 служебки.
  В отличие от ситуации, когда попасть  в  другие  credentials  можно
 тихо и по невнимательности, это таки сработает.
 
 >
 > Заметить приладу типа HookDump можно только если ее целенаправленно искать,
 > что вряд ли является целью прихода юзера на машину. Как и слежение
 > за текущем списком юзеров на файловом сервере и временами их логинов.
 >
 >  IA>>  2) Hа случай снифферов есть  One-time  passwords  и  смарткарты.
 >  IA>> Если приспичило.
 >  IA>>  В  общем,  это  всё разрешимо. В отличие от схемы ayтентификации
 >  IA>> стандартной NFS.
 > >> Hе в курсе насчет смарт-карт, но OPIE/SKey в эхотаге работает. И NFS
 > >> пользоваться этим тоже может (ему вообще по-барабану, как именно
 > >> ядро юзера аутентифицировало).
 >  IA>  Что, филиал roc решили устроить?
 >  IA>  Если  таки нет: OTP/карты спасают от снифферов на многоадминских
 >  IA> машинках. NFSv3  на  таких  машинах  (по  крайней  мере  то,  что
 >  IA> реализовано в хрюнихах) не спасёт ничего.
 >
 > Hе стоит веровать в пароли на "многоадминских" машинках, на них
 > от кражи credentials для файлового сервера не спасет ничто, включая OTP.
 > Разве что ты будешь предьявлять новый OTP на каждый сисколл,
 > запрашивающий данные с файлового сервера.
 
  О да, тонкий многоходовой хак, который действует только для тех,
 кто живёт на этой же тачке и только  пока  человек  залогинен  --
 сработает.  Во многих случаях технической защиты такого уровня --
 вполне достаточно. Я бы даже сказал -- в _очень_ многих  случаях.
 Есть ровно один затык: нет нормальной сетевой fs, чтобы
 
  a) Работала
  б) С живыми блокировками
  в) Без глюков
  г) Обеспечивала вышеуказанное.
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: bsd для десктопов, продолжение сериала   Ilya Anfimov   15 Aug 2005 16:54:13 
Архивное /ru.unix.bsd/19170bd8d866e.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional