LINUX.ORG.RU

История изменений

Исправление praseodim, (текущая версия) :

Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.

Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.

И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.

Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.

Надо подключаться к какому-то левому порту.

Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.

Используют вообще-то стандартный порт и аутентификацию по ключам

Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже? Вообще-то, я знаю, что на самом деле хуже, тем что клиентом не проверяется сервер (вернее если проверять отпечаток, то тогда уже и ключи проверять) и упрощается mitm. Но это уже как раз из серии изощренных атак, которые в обычном случае (как у меня) никто не станет делать. А если есть опасение, то конечно ключи должны быть.

Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.

P.S. Ты все конечно правильно говоришь, просто мне кажется на практике с одной стороны можно позволить себе некоторое упрощение с паролями, вместо ключей, а с другой таки заморочиться с нестандартным портом и приветствиями.

Исправление praseodim, :

Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.

Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.

И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.

Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.

Надо подключаться к какому-то левому порту.

Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.

Используют вообще-то стандартный порт и аутентификацию по ключам

Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже? Вообще-то, я знаю, что на самом деле хуже, тем что клиентом не проверяется сервер (вернее если проверять отпечаток, то тогда уже и ключи проверять) и упрощается mitm. Но это уже как раз из серии изощренных атак, которые в обычном случае (как у меня) никто не станет делать. А если есть опасение, то конечно ключи должны быть.

Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.

Исходная версия praseodim, :

Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.

Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.

И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.

Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.

Надо подключаться к какому-то левому порту.

Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.

Используют вообще-то стандартный порт и аутентификацию по ключам

Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже?

Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.