Re: known_hosts - несколько sshd на одном ip
Michael Shigorin -> debian-russian@lists.debian.org @ Fri, 27 Nov 2009 20:00:11 +0200: >> >> Разве что отключить проверку отпечатков для данного >> >>конкретного хоста в .ssh/config MS> Зачем?! Домашнее задание: тысячу раз написать в каждом из двух текстовых редакторов фразу "Я буду дочитывать тред до конца, прежде чем отвечать на вопрос, обсужденный неделю назад." -- Если еда невкусная, вы просто на двое суток раньше времени сели обедать. туристская поговорка -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
On Sun, Nov 22, 2009 at 01:08:28AM +0300, yuri.nefedov wrote: > >> Разве что отключить проверку отпечатков для данного > >>конкретного хоста в .ssh/config Зачем?! > >а можно подробнее, сходу не нашёл. хочется отключить например > >для 192.168.1.1 - а то openwrt после кажд перепрошивки > >генерирует новый отпечаток, ssh начинает ругаться... > StrictHostKeyChecking ? Уже довольно давно openssh наконец научили HostKeyAlias: Hostgw HostKeyAlias gw-main HostName 12.34.56.78 Port 12345 User admin Hostserver HostKeyAlias gw-server HostName 12.34.56.78 Port 54321 и проверяем: ssh gw; ssh server -- WBR, Michael Shigorin -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Mikhail Gusarov -> debian-russian@lists.debian.org @ Mon, 23 Nov 2009 03:57:15 +0600: AC>> Это некая очень дополнительная мера защиты от цепочки взломов. AC>> Если взломщик пролез в твой аккаунт на некой машине (особенно - AC>> если вскрыл твой пароль), ему очень резонно ломануться дальше по AC>> списку хостов из known_hosts. Хэширование его в этом обламывает. MG> Чем-то напоминает ту закрытую дверь, стоящую в чистом поле. entries из MG> .ssh/config и .*history никуда не денутся. history, скорее всего, даст меньше информации. Потому что хранится за сравнительно небольшой срок. zsh, кстати, по умолчанию, кажется, history не хранит. А в .ssh/config хостов вообще на порядок меньше, чем в known_hosts. В типичном случае - ни одного :-) Стойкость защиты измеряется по самому хлипкому звену. Нехешированные имена хостов _в некоторой ситуации_ оказываются локально самым хлипким звеном. Их хэширование делает всю защиту чуть прочнее - самым хлипким становится другое звено. Его тоже можно усилять. Впрочем, я излагаю смысл настройки, а не призываю ею пользоваться. -- Если в кране нет воды - удали с винта винды. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Twas brillig at 00:41:52 23.11.2009 UTC+03 when r...@ran.pp.ru did gyre and gimble: AC> Это некая очень дополнительная мера защиты от цепочки взломов. AC> Если взломщик пролез в твой аккаунт на некой машине (особенно - AC> если вскрыл твой пароль), ему очень резонно ломануться дальше по AC> списку хостов из known_hosts. Хэширование его в этом обламывает. Чем-то напоминает ту закрытую дверь, стоящую в чистом поле. entries из .ssh/config и .*history никуда не денутся. -- http://fossarchy.blogspot.com/ pgp57hlPOFpql.pgp Description: PGP signature
Re: known_hosts - несколько sshd на одном ip
On Mon, Nov 23, 2009 at 12:41:52AM +0300, Artem Chuprina wrote: > Ed -> debian-russian@lists.debian.org @ Sun, 22 Nov 2009 21:27:44 +0300: > > E> ps: вообще какая-то польза от этого хеширования есть? может > E> отключить его? ion3 например умеет автодополнять имена хостов из > E> known_hosts, а с хешированными именами обламывается. > > Это некая очень дополнительная мера защиты от цепочки взломов. Если > взломщик пролез в твой аккаунт на некой машине (особенно - если вскрыл > твой пароль), ему очень резонно ломануться дальше по списку хостов из > known_hosts. Хэширование его в этом обламывает. А посмотреть history ему влом... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Ed -> debian-russian@lists.debian.org @ Sun, 22 Nov 2009 21:27:44 +0300: E> ps: вообще какая-то польза от этого хеширования есть? может E> отключить его? ion3 например умеет автодополнять имена хостов из E> known_hosts, а с хешированными именами обламывается. Это некая очень дополнительная мера защиты от цепочки взломов. Если взломщик пролез в твой аккаунт на некой машине (особенно - если вскрыл твой пароль), ему очень резонно ломануться дальше по списку хостов из known_hosts. Хэширование его в этом обламывает. -- hands-free BSD -- (С)энта -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
San_Sanych wrote: Ed пишет: мне хочется скажем при подключении к 192.168.1.1 не проверять отпечатки, при подключении к остальным - проверять. ибо это стандартный адрес для всевозможных роутеров и т.п., в том числе и для свежепрошитого openwrt - не только для каждой железки отпечаток свой, но и при каждой перепрошивке отпечаток меняется. мэй би костылем по бездорожью, типа alias sshwrt='ssh-keygen -r 192.168.1.1 && ssh 192.168.1.1' спасибо за идею. действительно наверное примерно так и сделаю 'ssh-keygen -R 192.168.1.1; ssh -o "StrictHostKeyChecking no" r...@192.168.1.1' проблема была в том, что с введением хеширования хостов сделать "grep -v bla-bla-bla known_hosts" стало проблематичным, а об умении ssh-keygen удалять записи из known_hosts я не знал. ps: вообще какая-то польза от этого хеширования есть? может отключить его? ion3 например умеет автодополнять имена хостов из known_hosts, а с хешированными именами обламывается. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Artem Chuprina wrote: Ed -> debian-russian@lists.debian.org @ Sun, 22 Nov 2009 00:34:39 +0300: >> Разве что отключить проверку отпечатков для данного >> конкретного хоста в .ssh/config E> а можно подробнее, сходу не нашёл. E> хочется отключить например для 192.168.1.1 - а то openwrt после кажд E> перепрошивки генерирует новый отпечаток, ssh начинает ругаться... Что-то мне подсказывает, что задачу с часто перезаливаемым OpenWRT надо решать как-то иначе. То ли не ходить туда по ssh, а ходить телнетом (как у него по умолчанию и работает, пока рутовый пароль не выставлен), либо заливать ключи и рутовый пароль прямо в прошивке. Что-то мне подсказывает, что если OpenWRT обнаружит ключи при первом запуске, она не будет их менять... угу. только помимо самосборных прошивок openwrt на этом ip случаются и другие системы - хотя бы заводские прошивки роутеров/модемов/... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Ed -> debian-russian@lists.debian.org @ Sun, 22 Nov 2009 00:34:39 +0300: >> Разве что отключить проверку отпечатков для данного >> конкретного хоста в .ssh/config E> а можно подробнее, сходу не нашёл. E> хочется отключить например для 192.168.1.1 - а то openwrt после кажд E> перепрошивки генерирует новый отпечаток, ssh начинает ругаться... Что-то мне подсказывает, что задачу с часто перезаливаемым OpenWRT надо решать как-то иначе. То ли не ходить туда по ssh, а ходить телнетом (как у него по умолчанию и работает, пока рутовый пароль не выставлен), либо заливать ключи и рутовый пароль прямо в прошивке. Что-то мне подсказывает, что если OpenWRT обнаружит ключи при первом запуске, она не будет их менять... -- У кошки четыре ноги: ввод, вывод, земля и питание. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
yuri.nefe...@gmail.com wrote: On Sun, 22 Nov 2009, Ed wrote: Alexander GQ Gerasiov wrote: Разве что отключить проверку отпечатков для данного конкретного хоста в .ssh/config а можно подробнее, сходу не нашёл. хочется отключить например для 192.168.1.1 - а то openwrt после кажд перепрошивки генерирует новый отпечаток, ssh начинает ругаться... StrictHostKeyChecking ? а... имело место быть недопонимание - хост к которому подключаемся или хост с которого подключаемся. мне хочется скажем при подключении к 192.168.1.1 не проверять отпечатки, при подключении к остальным - проверять. ибо это стандартный адрес для всевозможных роутеров и т.п., в том числе и для свежепрошитого openwrt - не только для каждой железки отпечаток свой, но и при каждой перепрошивке отпечаток меняется. ps: емнип, StrictHostKeyChecking просто добавляет отпечатки новых хостов без запроса. при смене отпечатка на том ж ip ssh всё равно будет ругаться. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
On Sun, 22 Nov 2009, Ed wrote: Alexander GQ Gerasiov wrote: Разве что отключить проверку отпечатков для данного конкретного хоста в .ssh/config а можно подробнее, сходу не нашёл. хочется отключить например для 192.168.1.1 - а то openwrt после кажд перепрошивки генерирует новый отпечаток, ssh начинает ругаться... StrictHostKeyChecking ?
Re: known_hosts - несколько sshd на одном ip
Alexander GQ Gerasiov wrote: Разве что отключить проверку отпечатков для данного конкретного хоста в .ssh/config а можно подробнее, сходу не нашёл. хочется отключить например для 192.168.1.1 - а то openwrt после кажд перепрошивки генерирует новый отпечаток, ssh начинает ругаться... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Victor Wagner пишет: > Так что если хочется считать что это одна и та же система, и иметь на > ней один и тот же IP и sshd на одном и том же порту, то ключи должны > быть одинаковыми. Потому что - что собственно удостоверяет проверка > host key в ssh - то, что мы попали действительно на машину с тем > IP-адресом и портом, на которую собирались попасть. Убедили. (-: Наверное, именно так и поступлю. Хотя о присвоении разных ip-адресов или хотя бы имён -- тоже задумался. Уже независимо от. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Dmitri Samsonov пишет: Victor Wagner пишет: Я обычно предпочитаю научить dhcpd выдавать IP не по маку а по dhcp-client-identifier. И разным системам прописать разные идентификаторы. Не человечье это дело MAC-адреса куда-то руками прописывать. А dhcp-client-identifier может быть удобочитаемой строкой. Неудобно в моём случае, точно так же как и разнос по разным портам, и прописывание разных имён для одного ip. В общем случае я не знаю заранее, какая именно система в настоящий момент загружена на машине. Тогда вам надо ещё и синхронизировать учетные записи в разных системах. Давать им одинаковые имена, одинаковые ключи, одинаковые пароли.. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
On 2009.10.01 at 13:25:07 +0400, Dmitri Samsonov wrote: > Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня > неправильно поняли как "две двери подряд". (-: > Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не > логичнее ли иметь у себя на связке два ключа: один от парадного входа, > другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так > будет делать? Тут вопрос в том, что у черного хода вообще-то немножко другой адрес, чем у парадного. По крайней мере - другие географические координаты. Соответсвенно, мы всегда можем однозначно определить - пришли мы с черного хода, или с парадного, и достать соответствующий ключ. > И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с > другим замком. Можно. Если мы до того, как сунем ключ в замочную скважину, сумеем отличить черный ход от парадного. Вариантов предложили аж три 1. Разные IP-адреса. 2. Разные порты 3. Разные имена хостов, резолвящиеся в тот же IP. В последнем варианте, кстати, проверка ключа позволяет определить, та ли операционная система, загружена на компьютер. То есть надо определиться с тем, считаем ли мы разные системы, загруженные на данной железяке разными дверьми или одной. Если они разные, то там должны быть разные ключи. Но при этом должен быть способ указать, в какую именно систему мы идем. Если это одна машина, и мы хотим туда попадать независимо от того, какая именно система там загружена, то корректной аналогией будет не парадный и черный ход, а легкосъемная дверь, которую кто-то, кто в этот момент сидит дома, по своему усмотрению меняет на один из нескольких вариантов. Причем внешне двери выглядят совершенно одинаково. Cоответственно, приходим мы домой, вынимаем три ключа и начинаем по очереди пробовать. Неудобно как-то получается. Так что если хочется считать что это одна и та же система, и иметь на ней один и тот же IP и sshd на одном и том же порту, то ключи должны быть одинаковыми. Потому что - что собственно удостоверяет проверка host key в ssh - то, что мы попали действительно на машину с тем IP-адресом и портом, на которую собирались попасть. > Не повод ли это для багрепорта? > > -- > Dmitri Samsonov > > > -- > To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Dmitri Samsonov -> debian-russian@lists.debian.org @ Thu, 01 Oct 2009 13:25:07 +0400: >> У меня, гм, нет уверенности, что до сих пор никто не нарисовал драйвер >> маковской файловой системы для линукса... Наоборот еще, может, и не >> нарисовали - но dd никто не отменял и там... DS> Нет, они есть, конечно. Как в одну, так и в другую сторону. Нельзя DS> сказать, чтобы не без приколов, но есть... DS> Меня здесь больше напрягает не столько потенциальная несекурность, DS> сколько нарушение принципа экономии мышления и связывание разных DS> сущностей только заради решения вспомогательной задачи. Ну и что-то мне DS> подсказывает, что пытаться обмануть программу -- порочная практика, DS> которая потом может выйти боком в неочевидном сейчас месте. DS> Ну и вообще по жизни я обманывать не люблю -- предпочитаю честно DS> договариваться... (-: Ты программу уже обманываешь. Выдавая одинаковое имя и одинаковый адрес двум разным системам. Так что аргумент о честности за отмазку не канает :-) Либо ты их рассматриваешь как разные системы - и тогда у них должны быть хотя бы разные имена (CheckHostIP no), либо ты эту машинку интерпретируешь как единую - и тогда и имя, и ключи должны быть одинаковыми. >> DS> Но меня это решение всё равно настораживает. Некошерно как-то. >> DS> Как если бы в доме было две двери. И вместо того, чтобы носить с >> DS> собой два ключа -- я бы заморочился два одинаковых замка поставить, >> DS> чтобы один ключ и туда и сюда подходил. >> >> В данном случае это скорее две параллельные двери, а не >> последовательные. Чтобы войти в дом, достаточно одного ключа. Любого. >> Разница только в том, в какую дверь с ним идти. А если сделать >> одинаковые замки, то без разницы. DS> Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня DS> неправильно поняли как "две двери подряд". (-: DS> Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не DS> логичнее ли иметь у себя на связке два ключа: один от парадного входа, DS> другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так DS> будет делать? Так а смысл таскать с собой два ключа? Чтоб жизнь медом не казалась? DS> И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с DS> другим замком. Не повод ли это для багрепорта? Не повод. Потому что можно. Если это _другой_ ход (port). А ты, выражаясь в твоей аналогии, хочешь, чтобы два разных ключа подходили к одной и той же двери - потому что тебе хочется раз в час менять там замок... Вот так точно никто не делает. Хотя изгальнуться можно и так. Пойми. С точки зрения пришедшего (ssh) у тебя одна и та же дверь - один и тот же хост, один и тот же порт. Смена замка в одной и той же двери - ситуация, прямо скажем, отнюдь не штатная... -- Кто первый встал, того и грабли Д. Белявский -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Victor Wagner пишет: > Я обычно предпочитаю научить dhcpd выдавать IP не по маку а по > dhcp-client-identifier. И разным системам прописать разные > идентификаторы. Не человечье это дело MAC-адреса куда-то руками > прописывать. А dhcp-client-identifier может быть удобочитаемой строкой. Неудобно в моём случае, точно так же как и разнос по разным портам, и прописывание разных имён для одного ip. В общем случае я не знаю заранее, какая именно система в настоящий момент загружена на машине. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Artem Chuprina пишет: > Dmitri Samsonov -> debian-russian@lists.debian.org @ Wed, 30 Sep 2009 > 20:02:30 +0400: > У меня, гм, нет уверенности, что до сих пор никто не нарисовал драйвер > маковской файловой системы для линукса... Наоборот еще, может, и не > нарисовали - но dd никто не отменял и там... Нет, они есть, конечно. Как в одну, так и в другую сторону. Нельзя сказать, чтобы не без приколов, но есть... Меня здесь больше напрягает не столько потенциальная несекурность, сколько нарушение принципа экономии мышления и связывание разных сущностей только заради решения вспомогательной задачи. Ну и что-то мне подсказывает, что пытаться обмануть программу -- порочная практика, которая потом может выйти боком в неочевидном сейчас месте. Ну и вообще по жизни я обманывать не люблю -- предпочитаю честно договариваться... (-: > DS> Но меня это решение всё равно настораживает. Некошерно как-то. > DS> Как если бы в доме было две двери. И вместо того, чтобы носить с > DS> собой два ключа -- я бы заморочился два одинаковых замка поставить, > DS> чтобы один ключ и туда и сюда подходил. > > В данном случае это скорее две параллельные двери, а не > последовательные. Чтобы войти в дом, достаточно одного ключа. Любого. > Разница только в том, в какую дверь с ним идти. А если сделать > одинаковые замки, то без разницы. Да, я их и имел в виду как параллельные. Только сейчас дошло, что меня неправильно поняли как "две двери подряд". (-: Зачем на чёрный ход врезать точно такой же замок, как и на главный? Не логичнее ли иметь у себя на связке два ключа: один от парадного входа, другой от чёрного? Врезать-то такой замок можно -- но кто и зачем так будет делать? И уж очень странно, когда в доме НЕЛЬЗЯ сделать дверь на чёрный ход с другим замком. Не повод ли это для багрепорта? -- Dmitri Samsonov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Dmitri Samsonov -> debian-russian@lists.debian.org @ Wed, 30 Sep 2009 20:02:30 +0400: >> Ибо раз >> они на одной машине, они все равно файловые системы друг друга видят. >> "Ненужная связь" тем самым между ними уже есть, вопрос лишь в том, >> признаешь ты этот факт или нет :-) DS> Ну они скорее не столько "видят", сколько "теоретически могут видеть". DS> Всё-таки макось от дебиана таки отличается. У меня, гм, нет уверенности, что до сих пор никто не нарисовал драйвер маковской файловой системы для линукса... Наоборот еще, может, и не нарисовали - но dd никто не отменял и там... DS> Но меня это решение всё равно настораживает. Некошерно как-то. DS> Как если бы в доме было две двери. И вместо того, чтобы носить с DS> собой два ключа -- я бы заморочился два одинаковых замка поставить, DS> чтобы один ключ и туда и сюда подходил. В данном случае это скорее две параллельные двери, а не последовательные. Чтобы войти в дом, достаточно одного ключа. Любого. Разница только в том, в какую дверь с ним идти. А если сделать одинаковые замки, то без разницы. -- /dev/null-транспортировка -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Dmitri Samsonov wrote: >> Ибо раз >> они на одной машине, они все равно файловые системы друг друга видят. >> "Ненужная связь" тем самым между ними уже есть, вопрос лишь в том, >> признаешь ты этот факт или нет :-) > > Ну они скорее не столько "видят", сколько "теоретически могут видеть". > Всё-таки макось от дебиана таки отличается. > > Но меня это решение всё равно настораживает. Некошерно как-то. > Как если бы в доме было две двери. И вместо того, чтобы носить с собой > два ключа -- я бы заморочился два одинаковых замка поставить, чтобы один > ключ и туда и сюда подходил. Как показывает практика, воры подбирают ключи, а не воруют. И пробить 2-ве двери сложнее, нежели одну. -- Only one 0_o -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
On 2009.09.30 at 14:58:33 +0400, Krasheninnikov Vitaliy wrote: > В сообщении от Среда 30 сентября 2009 14:22:03 автор Dmitri Samsonov написал: > > Присваивать уникальный ip каждой системе тоже не хочется -- придётся > > отказаться от dhcp. > Если проблема только в этом, то решение простое - назначать другие маки > искусственно при старте систем. Я обычно предпочитаю научить dhcpd выдавать IP не по маку а по dhcp-client-identifier. И разным системам прописать разные идентификаторы. Не человечье это дело MAC-адреса куда-то руками прописывать. А dhcp-client-identifier может быть удобочитаемой строкой. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Artem Chuprina пишет: > Во-первых, dhcp умеет привязывать адрес не только к MAC. > > А я бы, кстати, именно что один ключ во все системы нарисовал. Наверное, одним из этих двух вариантов и поступлю. А жаль, я думал можно научить ssh-клиент доверять нескольким ключикам (и, соответственно, отпечаткам). > Ибо раз > они на одной машине, они все равно файловые системы друг друга видят. > "Ненужная связь" тем самым между ними уже есть, вопрос лишь в том, > признаешь ты этот факт или нет :-) Ну они скорее не столько "видят", сколько "теоретически могут видеть". Всё-таки макось от дебиана таки отличается. Но меня это решение всё равно настораживает. Некошерно как-то. Как если бы в доме было две двери. И вместо того, чтобы носить с собой два ключа -- я бы заморочился два одинаковых замка поставить, чтобы один ключ и туда и сюда подходил. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
-[ Dmitri Samsonov 30/09/2009 15:59 (GMT +3) > Alexander GQ Gerasiov пишет: > > Это security-flaw, подумай над тем, зачем в обычной жизни, нужны > > отпечатки. > > В обычной жизни у человека может быть как отпечаток пальца, так и > отпечаток, скажем, пятки. Это разные отпечатки одного человека. > Если я готов узнавать человека не только по отпечатку пальца правой > руки, но и по отпечатку пальца левой руки -- я чем-то серьёзно рискую? > Может так получиться, что левую руку кто-то подменил и поэтому я не могу > ей доверять так же как правой? > > А вот звать правую руку за Василием Петровичем, а левую за Василием > Петровичем не признавать ни разу, в крайнем случае запоминать её > отдельно под именем Акакия Ивановича -- не абсурд ли? > Разнеси sshd во всех машинах на разные порты. Будет тебе и правая рука, и левая. Хоть нога или глаз. -- Best regards, Mikhail xmpp: ant...@stopicq.ru irc: Bart-mdv- @ SolarNet SolarNet: http://www.solarnet.ru/ signature.asc Description: This is a digitally signed message part.
Re: known_hosts - несколько sshd на одном ip
Dmitri Samsonov -> debian-russian@lists.debian.org @ Wed, 30 Sep 2009 14:22:03 +0400: DS> На машине установлено несколько систем (загружается то одна, то другая DS> -- в зависимости от потребностей). В каждой -- есть ssh-сервер. DS> Ключи у них разные, а ip одинаковый (получается по dhcp с привязкой по DS> мак-адресу). Соответственно ssh каждый раз при попытке подключения к DS> другой системе паникует, что отпечаток не совпадает. DS> Отказываться от сверки отпечатков не хотелось бы. DS> Присваивать уникальный ip каждой системе тоже не хочется -- придётся DS> отказаться от dhcp. DS> Внедрить один и тот же ключ во все системы (тогда и отпечаток будет DS> всюду совпадать) -- не хочется, создаёт ненужную "связь" между системами DS> и вообще workaround. DS> Может есть способ хранить в known_hosts несколько ключей для одного DS> ip? Или какие-то иные варианты решения проблемы? Существует несколько способов решения. Во-первых, dhcp умеет привязывать адрес не только к MAC. Во-вторых, можно дать этим машинам разные имена (привязанные к одному адресу), и на них на все вписать в конфиг ssh (ssh_config, не путать с sshd_config) CheckHostIP no. Если подумать, можно еще что-нибудь сообразить, наверное, но на мой взгляд, этого вполне достаточно. А я бы, кстати, именно что один ключ во все системы нарисовал. Ибо раз они на одной машине, они все равно файловые системы друг друга видят. "Ненужная связь" тем самым между ними уже есть, вопрос лишь в том, признаешь ты этот факт или нет :-) -- hands-free BSD -- (С)энта -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Wed, 30 Sep 2009 15:59:58 +0400 Dmitri Samsonov wrote: > Alexander GQ Gerasiov пишет: > > Это security-flaw, подумай над тем, зачем в обычной жизни, нужны > > отпечатки. > > В обычной жизни у человека может быть как отпечаток пальца, так и > отпечаток, скажем, пятки. Это разные отпечатки одного человека. > Если я готов узнавать человека не только по отпечатку пальца правой > руки, но и по отпечатку пальца левой руки -- я чем-то серьёзно рискую? > Может так получиться, что левую руку кто-то подменил и поэтому я не > могу ей доверять так же как правой? > > А вот звать правую руку за Василием Петровичем, а левую за Василием > Петровичем не признавать ни разу, в крайнем случае запоминать её > отдельно под именем Акакия Ивановича -- не абсурд ли? Ой, извини, под обычной жизнью я имел ввиду ssh некоторый-хост, а не проверку отпечатков локтя подружки в начале свидания. =) -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Alexander GQ Gerasiov пишет: > Это security-flaw, подумай над тем, зачем в обычной жизни, нужны > отпечатки. В обычной жизни у человека может быть как отпечаток пальца, так и отпечаток, скажем, пятки. Это разные отпечатки одного человека. Если я готов узнавать человека не только по отпечатку пальца правой руки, но и по отпечатку пальца левой руки -- я чем-то серьёзно рискую? Может так получиться, что левую руку кто-то подменил и поэтому я не могу ей доверять так же как правой? А вот звать правую руку за Василием Петровичем, а левую за Василием Петровичем не признавать ни разу, в крайнем случае запоминать её отдельно под именем Акакия Ивановича -- не абсурд ли? -- Dmitri Samsonov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Wed, 30 Sep 2009 14:54:52 +0400 Dmitri Samsonov wrote: > К тому же мне кажется, что научение ssh-клиента верить нескольким > отпечаткам -- более идеологически правильно, чем ковырять машину из-за > проблем ssh-клиента. Не? Это security-flaw, подумай над тем, зачем в обычной жизни, нужны отпечатки. Разве что отключить проверку отпечатков для данного конкретного хоста в .ssh/config -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
Dmitri Samsonov пишет: Приветствую! На машине установлено несколько систем (загружается то одна, то другая -- в зависимости от потребностей). В каждой -- есть ssh-сервер. Ключи у них разные, а ip одинаковый (получается по dhcp с привязкой по мак-адресу). Соответственно ssh каждый раз при попытке подключения к другой системе паникует, что отпечаток не совпадает. Отказываться от сверки отпечатков не хотелось бы. Присваивать уникальный ip каждой системе тоже не хочется -- придётся отказаться от dhcp. Внедрить один и тот же ключ во все системы (тогда и отпечаток будет всюду совпадать) -- не хочется, создаёт ненужную "связь" между системами и вообще workaround. Может есть способ хранить в known_hosts несколько ключей для одного ip? Или какие-то иные варианты решения проблемы? А если в dns прописать несколько записей, указывающих на 1 IP? И обращаться не по IP а по hostname? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
В сообщении от Среда 30 сентября 2009 14:22:03 автор Dmitri Samsonov написал: > Присваивать уникальный ip каждой системе тоже не хочется -- придётся > отказаться от dhcp. Если проблема только в этом, то решение простое - назначать другие маки искусственно при старте систем. > Может есть способ хранить в known_hosts несколько ключей для одного > ip? Или какие-то иные варианты решения проблемы? Единственное, что приходит в голову - возможно, поможет установка и настройка monkeysphere. Но это решение совсем другого рода и в данной ситуации его пришлось бы поставить на все клиенты, которые подключаются к этим системам по SSH. > > -- > Dmitri Samsonov > -- С уважением, Крашенинников Виталий signature.asc Description: This is a digitally signed message part.
Re: known_hosts - несколько sshd на одном ip
Max Kosmach пишет: > On 30.09.2009 14:22, Dmitri Samsonov wrote: >> Присваивать уникальный ip каждой системе тоже не хочется -- придётся >> отказаться от dhcp. > > Привязать к чему-нибудь еще и раздавать разные IP не вариант совсем? А к чему лучше привязать? Проименовать их всех по-разному, в зависимости от системы? Учитывая, что системы сильно разные (Mac OS X и Debian) и их с десяток -- городить огород не очень улыбает. К тому же мне кажется, что научение ssh-клиента верить нескольким отпечаткам -- более идеологически правильно, чем ковырять машину из-за проблем ssh-клиента. Не? -- Dmitri Samsonov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: known_hosts - несколько sshd на одном ip
On 30.09.2009 14:22, Dmitri Samsonov wrote: > Приветствую! > > На машине установлено несколько систем (загружается то одна, то другая > -- в зависимости от потребностей). В каждой -- есть ssh-сервер. > Ключи у них разные, а ip одинаковый (получается по dhcp с привязкой по > мак-адресу). Соответственно ssh каждый раз при попытке подключения к > другой системе паникует, что отпечаток не совпадает. ... > Присваивать уникальный ip каждой системе тоже не хочется -- придётся > отказаться от dhcp. Привязать к чему-нибудь еще и раздавать разные IP не вариант совсем? -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org