|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Ilya Anfimov 2:5020/400 15 Aug 2005 15:47:18 To : Eugene Grosbein Subject : Re: bsd для десктопов, продолжение сериала -------------------------------------------------------------------------------- 2005-08-15, Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> пишет: > 15 авг 2005, понедельник, в 12:14 KRAST, Ilya Anfimov написал(а): > > >> Тут надо различать как минимум три случая. > >> > >> 1. Доступ к администрированию машины имеешь только ты сам, у юзеров > >> таких прав нет. Тут NFS работает само по себе, ничего настраивать не надо. > >> 2. Машина в распоряжении одного юзера (пример тут был - разработка > >> железок, эксперименты с ОС). Тут самое место -mapall. > >> 3. Машина в распоряжении нескольких недоверенных юзеров, которые могут > >> вытворять с ней что попало. В этом случае машине можно давать доступ > >> к любым публично доступным ресурсам без всякой аутентификации, > >> -mapall=nobody. Потому что любая аутентификация на такой машине > >> на самом деле профанация, юзеру нет никаких проблем поиметь имя/пароль > >> другого юзера, поставив на машину клавиатурный сниффер. Именно поэтому > > IA> 1) Клавиатурные снифферы гораздо легче запретить и отследить > IA> нежели "случайное" подключение с другими credentials. > > Hе понял, как ты запретишь снифферы на тачке, с которой > кто угодно может сделать что попало. 1) Сниффер сам по себе можно заметить. 2) Стыренный пароль -- тоже. По "не тем" временам логина, лишним пользователям имени тебя. > > IA> 2) Hа случай снифферов есть One-time passwords и смарткарты. > IA> Если приспичило. > IA> В общем, это всё разрешимо. В отличие от схемы ayтентификации > IA> стандартной NFS. > > Hе в курсе насчет смарт-карт, но OPIE/SKey в эхотаге работает. И NFS > пользоваться этим тоже может (ему вообще по-барабану, как именно > ядро юзера аутентифицировало). Что, филиал roc решили устроить? Если таки нет: OTP/карты спасают от снифферов на многоадминских машинках. NFSv3 на таких машинах (по крайней мере то, что реализовано в хрюнихах) не спасёт ничего. --- ifmail v.2.15dev5.3 * Origin: Demos online service (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/19170c9336268.html, оценка из 5, голосов 10
|