Mihai Rusu <[EMAIL PROTECTED]> scria la data de 2 Decembrie 2004:
> On Thu, 2 Dec 2004, Liviu Daia wrote:
>
> > In esenta, solutia authpf functioneaza in felul urmator:
> >
> > O clasa de user-i primesc conturi pe server, avand authpf ca
> > shell. Solutia presupune ca acesti user-i nu se pot log-a la server
> > altfel decat prin ssh, conditie usor de asigurat. In momentul in
> > care un astfel de user se log-eaza la server (cum spuneam, prin
> > ssh), pe server este executat authpf. Acesta face exact trei
> > lucruri:
> >
> > (a) adauga in firewall o regula care permite IP-ului de la care s-a
> > log-at user-ul respectiv sa treaca;
> >
> > (b) scrie un mesaj user-ului prin care il anunta ca are viitorul in
> > fata, dupa care asteapta;
> >
> > (c) in momentul in care conexiunea ssh se intrerupe (din orice
> > motiv, fie pentru ca user-ul a inchis putty, fie pentru ca a cazut
> > legatura fizica, fie din alte cauze), authpf sterge regula de la (a)
> > si iese.
> >
> > Prin ssh nu se face deci decat autentificarea, iar IP-ul
> > respectiv are iesire la Internet exact atat timp cat legatura ssh
> > este activa. Restul povestii tine de optimizari si managementul
> > parolelor.
>
> Care e in esenta ce facusem eu pt un netcafe acum 5 ani. Numai ca eu
> faceam totul printr-o pagina web si foloseam linux/ipchains.
>
> > Nu, atat timp cat intr-o retea nu pot exista simultan mai multe
> > masini cu acelasi IP. Iar daca omori masina cuiva in timp ce bietul
> > om este log-at, ii omori si legatura ssh.
>
> Consider acceptabil faptul ca trebuie sa ai sesiune activa SSH. Desi
> daca nu face keepalives sesiunea poate fi pastrata fara sa fie nevoie
> ca la IP-ul care a stabilit sesiunea sa mai fie sistemul care a facut
> acest lucru. AFAIK poti tine o conexiune TCP alive fara sa trimiti un
> packet in nici o directie pt ore intregi. Deci ai fi vulnerabil la IP
> takeover,
Motiv pentru care in manual se recomanda expres sa folosesti
ClientAliveInterval si ClientAliveCountMax in loc de TCP keepalive:
http://www.openbsd.org/cgi-bin/man.cgi?query=authpf#CONFIGURATION+ISSUES
> dar sa zicem ca e acceptabila solutia.
[...]
Salutari,
Liviu Daia
--
Dr. Liviu Daia http://www.imar.ro/~daia
---
Detalii despre listele noastre de mail: http://www.lug.ro/
