Веселье в гитхабе

Линк на методичку?

Edit: Нашёл уже. Я так на старом кластере делал, чтоб emacs tramp использовать. На новом не работает. Весь вычислительный центр огорожен от интернета системой с доступом по rsa token. Так что приватный ключ удалённо надо держать.

Да и на моём localhost, root не я, я уже писал. Правда он тоже огорожен от интернета.

Разве со своего аккаунта можно использовать чужой ключ? Какой он тогда приватный?

Я могу для твоей квартиры использовать твой ключ?

cvs репозиторий

матерь божья...

Это не зависит от того, куда ты там переехал. Это зависит только от пользователей-идиотов, выкладывающих свои ключи в публичный реп.

матерь божья...

Да, вот так вот :)

Но скоро обещали переползти на гит.

Я могу для твоей квартиры использовать твой ключ?

Да. Для этого не нужен мой компьютер, который заперт у меня дома.

А ssh с конкретного компьютера используется. Почему нельзя убедиться, что ключ используется именно на том компьютере, на котором сгенерирован, например по MAC адресу сетевого интерфейса?

А ssh с конкретного компьютера используется. Почему нельзя убедиться, что ключ используется именно на том компьютере, на котором сгенерирован, например по MAC адресу сетевого интерфейса?

Теоритически можно. man iptables :)

Самая главная уязвимость как обычно сидит на стуле перед компьютером.

// Оффтоп. tazhate, не узнать с новой аватаркой.

Я могу для твоей квартиры использовать твой ключ?

Да.

Ну и все. Никому не давай ключ от своей квартиры - все просто.

Ну и все. Никому не давай ключ от своей квартиры - все просто.

Ключ от квартиры всегда лежит у меня в кармане. Выше же речь шла о том, что приватный rsa лежит на машинах, к которым кроме меня есть доступ у других людей, у админов например. В моём случае это не опасно, т.к. все мои публичные ключи лежат внутри шлюза с доступом через rsa secureid, но теоретически ведь возможность того, что админ сольёт ключи, есть.

Тут ситуация скорее как с ключами от офиса, когда у разных людей есть своя копия. Я работал как-то в компании, которую обнесла банда, в которую входила охрана здания и уборщики. У уборщиков были ключи от всех офисов. Когда они тащили коробки с техникой через проходную, охрана делала вид, что спит.

А ты думаешь, что пароли на ключи запоминаются проще?

я думаю(и практика это доказывает), что никаких паролей на ключах ssh НЕТ. Во всяком случае, те ключи что в первом посте, никаких паролей не имеют.

Чтобы получить доступ только по паролю, нужен только сбрутать пароль. И то, 'только' - это вопрос не одного дня (не одной недели-месяца)

не забывай о том, что для того, что-бы сбрутить пароль на _удалённый_ хост тебе понадобиться НАМНОГО больше времени - ибо при ошибке придётся ждать 3 секунды, да и IP твой забанят нафиг. В итоге, за сутки ты сбрутишь максимум 30000 паролей, и породишь этим такой лог, что тебя забанит последний нуб.

В отличие от этого терминального варианта, сбрутить пароль на ключ ты можешь локально, никто тебя банить не станет, и ждать 3 секунды не нужно. Да и пароль будет намного проще, ибо одмин рассуждает как ты: «это дополнительная защита, потому пароль можно и 123 поставить».

Почему нельзя убедиться, что ключ используется именно на том компьютере, на котором сгенерирован, например по MAC адресу сетевого интерфейса?

потому-что, если у тебя на работе сгорит сетевуха, и тебе админ её поменяет, ты будешь сасать хлапу, ибо твой ключ не подходит к ключу, который сгенерирован на «том» компьютере (MAC-то поменялся).

Нет, не так. Работать приходится на нескольких разных кластерах. Есть необходимость перекидывать между ними данные. Для некоторых операций беспарольный login с одного кластера на другой обязателен.

В таком случае, как я написал выше, лучше сгенерировать собственный ключ для каждого узла кластера или сервиса. Иначе с точки зрения безопасности получается хрень.

Я про то ж и говорю ж.

Стооп. Сбрутить пароль на ключ? Фигня же, тебе нужен приватный ключ для этого, нет?
Подробностей, плз.

потому-что, если у тебя на работе сгорит сетевуха, и тебе админ её поменяет, ты будешь сасать хлапу, ибо твой ключ не подходит к ключу, который сгенерирован на «том» компьютере (MAC-то поменялся).

Ну и в чём проблема? Новый ключ сгенерить - минутное дело. Два раза пароль набрать.

Ну и в чём проблема?

А если кроме этого ключа никакого другого доступа больше не было?

Это как? По дефолту же через пароль? Ключ же как-то сгенерировал юзер, потом как-то записал публичный на удалённый хост. Или что, оно сразу так само было?

По дефолту же через пароль?

Отключается сразу же. После организации доступа по ключу.

Стооп. Сбрутить пароль на ключ? Фигня же, тебе нужен приватный ключ для этого, нет?

да. в том-то и фишка, что по ссылке из первого поста ПРИВАТНЫЕ ключи.

Ну и в чём проблема? Новый ключ сгенерить - минутное дело. Два раза пароль набрать.

ещё надо _туда_ сбегать, и _там_ этот ключ сгенерить. Факт в том, что _безопасный_ канал накрылся, и теперь тебе нужно _ножками_ бегать, раз ты такой параноик.

По дефолту же через пароль?

пароль рекомендуется отключить. Для безопасности.