Comments 45
Спасибо. Мельком про s/key читал в статьях про керберос, а что он есть в ssh не знал.
Есть другой рецепт: едешь в отпуск — отключай телефон )
И? А оно не работает. Что делаем?
> едешь в отпуск — отключай телефон )
Всё правильно сделал! Нефиг из отпуска человека дёргать.
Зарезервировали серваки — зарезервируйте и админов!
Всё правильно сделал! Нефиг из отпуска человека дёргать.
Зарезервировали серваки — зарезервируйте и админов!
Да, но ноут бери с собой-иначе какой же ты админ (;
+1. Плохо быть незаменимым. В крупных компаниях такого не бывает, кстати, непозволительный риск.
>В любой серьезной компании иногда возникает необходимость в том, чтобы сотрудник, уехавший в отпуск, срочно выполнил свои должностные обязанности.
«Незаменимых людей нет» (с) Что будет делать «серьёзная компания», если «ключевой» сотрудник уехал в отпуск в Гималаи, Антарктиду или просто на дачу, где нет покрытия сотовых операторов? Не знаю, как в окрестностях «дефолт-сити» и Гималаев (откуда они взялись в башке, почему не Тибет, например? Неужто попса так влияет? Точно: «отпустите меня в Гималаи… где никто не коннектит ко мне» :D ), но в окрестностях «культурной столицы» такие дачи точно есть)?
А за статью спасибо, коллективный разум хабра как всегда телепат, на днях обсуждали методики генерации одноразовых паролей, кроме как до рандомного списка «в конверте» толком не дообсуждались:)
«Незаменимых людей нет» (с) Что будет делать «серьёзная компания», если «ключевой» сотрудник уехал в отпуск в Гималаи, Антарктиду или просто на дачу, где нет покрытия сотовых операторов? Не знаю, как в окрестностях «дефолт-сити» и Гималаев (откуда они взялись в башке, почему не Тибет, например? Неужто попса так влияет? Точно: «отпустите меня в Гималаи… где никто не коннектит ко мне» :D ), но в окрестностях «культурной столицы» такие дачи точно есть)?
А за статью спасибо, коллективный разум хабра как всегда телепат, на днях обсуждали методики генерации одноразовых паролей, кроме как до рандомного списка «в конверте» толком не дообсуждались:)
>Что будет делать «серьёзная компания», если «ключевой» сотрудник уехал в отпуск в Гималаи, Антарктиду
или сотрудника туда отпускать не будут, или он будет обязан вести подробную вики с описанием возможных проблем и из решениями.
или сотрудника туда отпускать не будут, или он будет обязан вести подробную вики с описанием возможных проблем и из решениями.
>или сотрудника туда отпускать не будут,
как это физически может выглядеть? домашний арест на время отпуска? Чур, охранники противоположного пола и посимпатичней :)
>или он будет обязан вести подробную вики с описанием возможных проблем и из решениями.
а в «серьёзных компаниях» этого (необязательно вики, а различных «политик» и «регламентов») до сих пор нет?
как это физически может выглядеть? домашний арест на время отпуска? Чур, охранники противоположного пола и посимпатичней :)
>или он будет обязан вести подробную вики с описанием возможных проблем и из решениями.
а в «серьёзных компаниях» этого (необязательно вики, а различных «политик» и «регламентов») до сих пор нет?
если _очень серьезная компания_ — то я например пользуюсь www.iridium.com/products/Iridium9555SatellitePhone.aspx?productCategoryID=1
если кто-то начнет выступать что это дорого — ерунда, аппарат стоит 1000 фунтов и минута менее доллара (дешевле роуминга GSM чаще всего)
если кто-то начнет выступать что это дорого — ерунда, аппарат стоит 1000 фунтов и минута менее доллара (дешевле роуминга GSM чаще всего)
Перенесите в компьютерную безопасность, кармы у вас теперь хватает
Сложнова-то после логина еще выполнять команду.
В практике можно проще — сделать toor'ов штук 5 с разными паролями, после входа сразу passwd на случайные символы.
В практике можно проще — сделать toor'ов штук 5 с разными паролями, после входа сразу passwd на случайные символы.
А «после входа сразу passwd» — это не команда после логина? Да и зачем плодить сущности без необходимости?
Но если вам проще вместо 1 пароля (секретной фразы для генерации ответа) запомнить 5 разных паролей, то я за вас рад, без шуток. Серьезно.
Но если вам проще вместо 1 пароля (секретной фразы для генерации ответа) запомнить 5 разных паролей, то я за вас рад, без шуток. Серьезно.
Так кейлоггер может «прослушать» новый пароль, на который меняем ;)
Всегда «радовали» такие решения… юзали бы ключи с паролями к ключу и не парились бы. Ну и OpenVPN.
Конечно, никто даже не подумал подумать что будет если ноутбук украдут и данные скопи***дят.
Иногда складывается впечатление, что многие люди думают задницей…
Конечно, никто даже не подумал подумать что будет если ноутбук украдут и данные скопи***дят.
Иногда складывается впечатление, что многие люди думают задницей…
S/key не претендует на всеобщую универсальность. У разных задач — разные решения. Для ситуации, описанной в статье, на мой взгляд, s/key — наиболее подходящее решение, но это не значит, что других решений, которые будут удобны другим людям, не существует.
1) я так понимаю что подразумевается что с собой ноута нет и поэтому заход с «левого» интернет кафе. нужный пароль можно получить либо по телефону, либо сгенерировать локально, например устанивив апп на телефон. для этого ноут не нужен
2) по пободу кражи ноута — не релевантно. если 'мастер' пароль не хранит, а вводить для генерации одноразового.
3) информационная проблема с кражей ноута решается просто. у меня вся «интересная» инфа включая ~/.ssh/ и все исходники находится на зашифрованном диске который маунтится при логине.
2) по пободу кражи ноута — не релевантно. если 'мастер' пароль не хранит, а вводить для генерации одноразового.
3) информационная проблема с кражей ноута решается просто. у меня вся «интересная» инфа включая ~/.ssh/ и все исходники находится на зашифрованном диске который маунтится при логине.
Спасибо! Взял на заметку.
спасибо за статью. Учту.В будущем надеюсь поможет)
Список одноразовых паролей — ну просто «Алекс — Юстасу» :)
Отсечение по подсети, таймаут при неверном вводе пароля ( секунд эдак 20… ), нестандартный порт… а еще лучше авторизация по ключам. Тоже вполне секурно :)
Вот такое бы решение для gmail.
«Лист с паролями можно спрятать поглубже в чемодан или скопировать на телефон в виде простого текстового файла. „
— отличная рекомендация. Не забудьте еще указать IP сервера и логин, на этом же листе.
— отличная рекомендация. Не забудьте еще указать IP сервера и логин, на этом же листе.
Внимательно перечитайте всю статью.
Putty хорош, никто не спорит, но мобильная клавиатура совсем не всем удобна, да и gprs в роуминге может обойтись дороже часа в интернет-кафе.
В случае, когда необходима правка конфигов или иное использование текстового редактора, дисплей телефона из-за размера тоже может показаться непрактичным.
В случае, когда необходима правка конфигов или иное использование текстового редактора, дисплей телефона из-за размера тоже может показаться непрактичным.
На мой взгляд, у схемы со сменой паролей с основного на временный и обратно есть недостаток: после использования пароля он (пароль) работоспособен некоторое, возможно малое, время, за которое злоумышленник (если он существует, конечно), может воспользоваться этим паролем. Race condition — опасная штука.
S/key же лишен этого недостатка.
Но сколько людей, столько и мнений. У каждого решения есть свои плюсы и минусы.
S/key же лишен этого недостатка.
Но сколько людей, столько и мнений. У каждого решения есть свои плюсы и минусы.
Sign up to leave a comment.
Организация SSH-доступа по одноразовым паролям