[Comm] ALT M 2.2 SSH root

[Comm] ALT M 2.2 SSH root

[dpotap]

Привет олл.

Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
SSH можно было подключиться к lin машине root'ом?
Использую программку putty.
При установке указал установить SSH, при выборе стартуемых служб
указал SSH. Подлючиться могу, но только обычным пользователем. При
попытке подключиться root'ом после ввода пароля выводится сообщение
Access dinied. Наверное по умолчанию для безопасности сделано так,
чтобы рутом нельзя было залогинится по сети. Где че подправить?

С уважением, Потапов Дмитрий.

Re: [Comm] ALT M 2.2 SSH root

[Leonid B. Sysoletin]

В сообщении от 15 Май 2003 10:44 dpotap@fromru.com написал(a):
> Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> SSH можно было подключиться к lin машине root'ом?

Этого лучше не делать, дабы не светить (даже в SSH) рутовые credentials. 
Рекомендованный метод - законнектиться обычным пользователем и сделать
	su -

-- 
Л. Сысолетин,
webmaster@unicon-ms.ru, webmaster@bdo.ru
[Team Ёжики-рулез!] [Team Котёнки на солярке] [Team Берегите букву "ё"!]
[Team Я люблю свою фортунку] [Team Фортунка в переписку не вступает]

No matter how much you do you never do enough.

[Comm] Re: ALT M 2.2 SSH root

[Michael Shigorin]

On Thu, May 15, 2003 at 10:44:06AM +0400, dpotap@fromru.com wrote:
> Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> SSH можно было подключиться к lin машине root'ом?

Не надо этого делать.

> Где че подправить?

В подходе к безопасности.  Для того, чтобы после возникновения
проблем можно было хоть как-то понять, кто и что.

Плюс к тому при этом не так болезненна утечка рутового пароля --
для входа в систему надо знать пользовательский (причем
пользователя, которому можно su/sudo) и, возможно, рутовый.

Если совсем неймется -- man 5 sshd_config, искать root.  Но не
говорите потом, что не предупреждали.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] ALT M 2.2 SSH root

[Alexei Bayguzov]

On Thu, 15 May 2003 10:44:06 +0400
dpotap@fromru.com wrote:

> Привет олл.
> 
> Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> SSH можно было подключиться к lin машине root'ом?
> Использую программку putty.
> При установке указал установить SSH, при выборе стартуемых служб
> указал SSH. Подлючиться могу, но только обычным пользователем. При
> попытке подключиться root'ом после ввода пароля выводится сообщение
> Access dinied. Наверное по умолчанию для безопасности сделано так,
> чтобы рутом нельзя было залогинится по сети. Где че подправить?

man sudoers
visudo
sudo -s
Помогут отцу русской демократии... НЕ НАДО РАБОТАТЬ РУТОМ!


С уважением,
    Алексей
----------------------------------------
Alexei V. Bayguzov		
E-mail: mrbond@itc.nstu.ru
----------------------------------------

Re: [Comm] ALT M 2.2 SSH root

[Владимир]

dpotap@fromru.com пишет:

>Привет олл.
>
>Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
>SSH можно было подключиться к lin машине root'ом?
>Использую программку putty.
>При установке указал установить SSH, при выборе стартуемых служб
>указал SSH. Подлючиться могу, но только обычным пользователем. При
>попытке подключиться root'ом после ввода пароля выводится сообщение
>Access dinied. Наверное по умолчанию для безопасности сделано так,
>чтобы рутом нельзя было залогинится по сети. Где че подправить?
>  
>

У меня так

локально:
control su wheelonly
добавляем пользователя aaa в группу wheel
из putty:
подключаемся пользователем aaa
выполняем su -l

(или настроить sudo для пользователя aaa)

-- 
Best regards
Vladimir

Re: [Comm] Re: ALT M 2.2 SSH root

[Alexander Simernin]

В сообщении от Четверг 15 Май 2003 11:10 Michael Shigorin написал(a):


On Thu, May 15, 2003 at 10:44:06AM +0400, dpotap@fromru.com wrote:
> > Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> > SSH можно было подключиться к lin машине root'ом?
>
> Не надо этого делать.
>
> > Где че подправить?
>
> В подходе к безопасности.  Для того, чтобы после возникновения
> проблем можно было хоть как-то понять, кто и что.
>
> Плюс к тому при этом не так болезненна утечка рутового пароля --
> для входа в систему надо знать пользовательский (причем
> пользователя, которому можно su/sudo) и, возможно, рутовый.
>
> Если совсем неймется -- man 5 sshd_config, искать root.  Но не
> говорите потом, что не предупреждали.

Конкретнее - в /etc/openssh/sshd_config искать строку PermitRootLogin, 
раскомментировать и поменять No на Yes :)
Но под рутом напрямую лучше входить если только в локалке...
Через Инет - нна самом деле гораздо секъюрнее будет пользователем...

-- 
Best regards,								mailto:simernin@maxus.ru
 Alexander!

Re: [Comm] ALT M 2.2 SSH root

[Alexander Simernin]

В сообщении от Четверг 15 Май 2003 11:17 Alexei Bayguzov написал(a):
> On Thu, 15 May 2003 10:44:06 +0400
>
> dpotap@fromru.com wrote:
> > Привет олл.
> >
> > Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> > SSH можно было подключиться к lin машине root'ом?
> > Использую программку putty.
> > При установке указал установить SSH, при выборе стартуемых служб
> > указал SSH. Подлючиться могу, но только обычным пользователем. При
> > попытке подключиться root'ом после ввода пароля выводится сообщение
> > Access dinied. Наверное по умолчанию для безопасности сделано так,
> > чтобы рутом нельзя было залогинится по сети. Где че подправить?
>
> man sudoers
> visudo
> sudo -s
> Помогут отцу русской демократии... НЕ НАДО РАБОТАТЬ РУТОМ!
>

Уважаемые, а разъяснит кто-нибудь, чем это может реально грозить человеку, у 
которого руки не трясутся, голова трезва и знания достаточны?

Я, например, 3 года занимаюсь *никсами (для кого-то, может, это мало), 
постоянно приходится работать и под рутом и под юзером в иксах, но с 
постоянно запущенной рутовой консолью, и ни разу ничего не испортил тем, что 
"работал под рутом"...
Я, хоть убейте, никакой опасности не вижу, кроме гипотетической опасности 
"что-нибудь грохнуть", которая малоприменительна к нормальным людям, которые 
знают что делать и как это делать...

-- 
Best regards,								mailto:simernin@maxus.ru
 Alexander!

Re: [Comm] Re: ALT M 2.2 SSH root

[Andrew Velikoredchanin]

Michael Shigorin wrote:
> On Thu, May 15, 2003 at 10:44:06AM +0400, dpotap@fromru.com wrote:
> 
>>Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
>>SSH можно было подключиться к lin машине root'ом?
> 
> Не надо этого делать.
> 
>>Где че подправить?
> 
> В подходе к безопасности.  Для того, чтобы после возникновения
> проблем можно было хоть как-то понять, кто и что.
> 
> Плюс к тому при этом не так болезненна утечка рутового пароля --
> для входа в систему надо знать пользовательский (причем
> пользователя, которому можно su/sudo) и, возможно, рутовый.

Но при переключении на рута через su пользователь должен ввести пароль 
рута? Насколько я знаю, в ssh шифруется только процедура подключения,а 
трафик идет в открытом виде. В таком случае при su от юзера пароль рута 
будет передаваться через сеть в открытом виде.
Или я не прав?

[Comm] Re: ALT M 2.2 SSH root

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 671 bytes --]

On Thu, 15 May 2003 11:32:59 +0400
Alexander Simernin <simernin@maxus.ru> wrote:

<skipped/>

> Конкретнее - в /etc/openssh/sshd_config искать строку
> PermitRootLogin, раскомментировать и поменять No на Yes :)
> Но под рутом напрямую лучше входить если только в локалке...

Под рутом входить не лучше ни в каком случае, не путайте людей :)

<jt>
Кстати, есть интересная статья:
http://www.ixbt.com/editorial/fishday/fishday-5.shtml

Побочный эффект от прочтения - объясняет, почему полезнее найти
решение самому, чем получить сразу готовое решение по шагам... ;)
</jt>

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALT M 2.2 SSH root

[Andrew Velikoredchanin]

Alexander Simernin wrote:
> В сообщении от Четверг 15 Май 2003 11:17 Alexei Bayguzov написал(a):
> 
>>On Thu, 15 May 2003 10:44:06 +0400
>>
>>dpotap@fromru.com wrote:
>>
>>>Привет олл.
>>>
>>>Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
>>>SSH можно было подключиться к lin машине root'ом?
>>>Использую программку putty.
>>>При установке указал установить SSH, при выборе стартуемых служб
>>>указал SSH. Подлючиться могу, но только обычным пользователем. При
>>>попытке подключиться root'ом после ввода пароля выводится сообщение
>>>Access dinied. Наверное по умолчанию для безопасности сделано так,
>>>чтобы рутом нельзя было залогинится по сети. Где че подправить?
>>
>>man sudoers
>>visudo
>>sudo -s
>>Помогут отцу русской демократии... НЕ НАДО РАБОТАТЬ РУТОМ!
>>
> 
> 
> Уважаемые, а разъяснит кто-нибудь, чем это может реально грозить человеку, у 
> которого руки не трясутся, голова трезва и знания достаточны?
> 
> Я, например, 3 года занимаюсь *никсами (для кого-то, может, это мало), 
> постоянно приходится работать и под рутом и под юзером в иксах, но с 
> постоянно запущенной рутовой консолью, и ни разу ничего не испортил тем, что 
> "работал под рутом"...
> Я, хоть убейте, никакой опасности не вижу, кроме гипотетической опасности 
> "что-нибудь грохнуть", которая малоприменительна к нормальным людям, которые 
> знают что делать и как это делать...

Все верно - у меня та-же ситуация. Но недавно знакомые линуксоиды меня 
переубедили что именно постоянно _работать_ под рутом опасно. Самая 
большая опасность - работать в интернете из под рута, т.к. теоритически 
в таком режиме проще произвести удаленную аттаку на машину через 
онлайновые сервисы к которым подключаешся.
Здесь имееться ввиду, что ты на своей рабочей станции работаешь под рутом.
С удаленными серверами другая ситуация и я не согласен с тем, что и при 
их администрировании нужно избегать пользоваться рутом. Т.к. к ним 
подключаешся редко и именно в той ситуации когда надо сделать что-то 
именно от рута. Так зачем тогда городить огород с su или sudo?

Re: [Comm] Re: ALT M 2.2 SSH root

[Leonid B. Sysoletin]

В сообщении от 15 Май 2003 11:45 Andrew Velikoredchanin написал(a):
> Но при переключении на рута через su пользователь должен ввести пароль
> рута? Насколько я знаю, в ssh шифруется только процедура подключения,а
> трафик идет в открытом виде. В таком случае при su от юзера пароль рута
> будет передаваться через сеть в открытом виде.
> Или я не прав?

Не прав. При использовании SSH в него "завёртывается" весь траффик.

-- 
Л. Сысолетин,
webmaster@unicon-ms.ru, webmaster@bdo.ru
[Team Ёжики-рулез!] [Team Котёнки на солярке] [Team Берегите букву "ё"!]
[Team Я люблю свою фортунку] [Team Фортунка в переписку не вступает]

I can relate to that.

Re: [Comm] Re: ALT M 2.2 SSH root

[Владимир]

Andrew Velikoredchanin пишет:

> Michael Shigorin wrote:
>
>> On Thu, May 15, 2003 at 10:44:06AM +0400, dpotap@fromru.com wrote:
>>
>>> Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
>>> SSH можно было подключиться к lin машине root'ом?
>>
>>
>> Не надо этого делать.
>>
>>> Где че подправить?
>>
>>
>> В подходе к безопасности.  Для того, чтобы после возникновения
>> проблем можно было хоть как-то понять, кто и что.
>>
>> Плюс к тому при этом не так болезненна утечка рутового пароля --
>> для входа в систему надо знать пользовательский (причем
>> пользователя, которому можно su/sudo) и, возможно, рутовый.
>
>
> Но при переключении на рута через su пользователь должен ввести пароль 
> рута? Насколько я знаю, в ssh шифруется только процедура подключения,а 
> трафик идет в открытом виде. В таком случае при su от юзера пароль 
> рута будет передаваться через сеть в открытом виде.
> Или я не прав? 


Не правы. И самое "тонкое" место в ssh момент подключения. С переходом 
от ssh1 на ssh2 процесс подключения стал строже.
Если говорить о putty, по умолчанию используется ssh1.
Для использования ssh2 это нужно явно указать в настройках - рекомендую.

-- 
Best regards
Vladimir

Re: [Comm] ALT M 2.2 SSH root

[Alexander Simernin]

В сообщении от Четверг 15 Май 2003 11:50 Andrew Velikoredchanin написал(a):
> Alexander Simernin wrote:
> > В сообщении от Четверг 15 Май 2003 11:17 Alexei Bayguzov написал(a):
> >>On Thu, 15 May 2003 10:44:06 +0400
> >>
> >>dpotap@fromru.com wrote:
> >>>Привет олл.
> >>>
> >>>Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> >>>SSH можно было подключиться к lin машине root'ом?
> >>>Использую программку putty.
> >>>При установке указал установить SSH, при выборе стартуемых служб
> >>>указал SSH. Подлючиться могу, но только обычным пользователем. При
> >>>попытке подключиться root'ом после ввода пароля выводится сообщение
> >>>Access dinied. Наверное по умолчанию для безопасности сделано так,
> >>>чтобы рутом нельзя было залогинится по сети. Где че подправить?
> >>
> >>man sudoers
> >>visudo
> >>sudo -s
> >>Помогут отцу русской демократии... НЕ НАДО РАБОТАТЬ РУТОМ!
> >
> > Уважаемые, а разъяснит кто-нибудь, чем это может реально грозить
> > человеку, у которого руки не трясутся, голова трезва и знания достаточны?
> >
> > Я, например, 3 года занимаюсь *никсами (для кого-то, может, это мало),
> > постоянно приходится работать и под рутом и под юзером в иксах, но с
> > постоянно запущенной рутовой консолью, и ни разу ничего не испортил тем,
> > что "работал под рутом"...
> > Я, хоть убейте, никакой опасности не вижу, кроме гипотетической опасности
> > "что-нибудь грохнуть", которая малоприменительна к нормальным людям,
> > которые знают что делать и как это делать...
>
> Все верно - у меня та-же ситуация. Но недавно знакомые линуксоиды меня
> переубедили что именно постоянно _работать_ под рутом опасно. Самая

А чем опасно постоянно работать под рутом например на своей рабочей станции в 
локалке или дома ? :)
Опасность эта - чисто теоретическая и, повторюсь, нормальному человеку она не 
грозит, только криворуким особям...
(хотя я на своей воркстанции работаю под юзером, но частенько с открытой 
консолью рута :)

> большая опасность - работать в интернете из под рута, т.к. теоритически
> в таком режиме проще произвести удаленную аттаку на машину через
> онлайновые сервисы к которым подключаешся.
> Здесь имееться ввиду, что ты на своей рабочей станции работаешь под рутом.
> С удаленными серверами другая ситуация и я не согласен с тем, что и при
> их администрировании нужно избегать пользоваться рутом. Т.к. к ним
> подключаешся редко и именно в той ситуации когда надо сделать что-то
> именно от рута. Так зачем тогда городить огород с su или sudo?

Это совершенно справедливо...
Комсомольцы, они, конечно, легких путей не ищут, и многие на Линукс то перешли 
(перешли тоже громко сказано, практически все имеют второй операционкой 
винду, якобы для игр, а Линукс демонстрируется окружающим лишь иногда, и то 
только в целях покрасоваться)  исключительно для того, чтобы "показаться 
крутыми". И если стоит серьезная задача, которую выполнить можно только с 
рутовыми привилегиями, не стоит корячиться и удалять гланды через задний 
проход.
На сервера логинятся раз в месяц, на 15 минут чтобы что-то подправить, проще и 
естественней сделать это именно из под рута. Ведь пользователь, сделавший su 
- это рут и есть и наворотить он может все то-же самое что и рут...
Так что рассуждения о том, что "работать под рутом опасно - используйте su" - 
все равно, что фраза: "спички детям не игрушки - покупайте зажигалки".

-- 
Best regards,								mailto:simernin@maxus.ru
 Alexander!

[Comm] Re: ALT M 2.2 SSH root

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 531 bytes --]

On Thu, 15 May 2003 11:45:01 +0400
Andrew Velikoredchanin <andrew@rodtext.indi.ru> wrote:

<skipped/>

> Но при переключении на рута через su пользователь должен ввести
> пароль рута? Насколько я знаю, в ssh шифруется только процедура
> подключения,а трафик идет в открытом виде. В таком случае при
> su от юзера пароль рута будет передаваться через сеть в
> открытом виде. Или я не прав?

Очень сильно не правы. Просто поразительно :)

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ALT M 2.2 SSH root

[Michael Shigorin]

On Thu, May 15, 2003 at 11:45:01AM +0400, Andrew Velikoredchanin wrote:
> Или я не прав?

Неправ, разумеется.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: ALT M 2.2 SSH root

[Anton V. Boyarshinov]

On Thu, 15 May 2003 11:45:01 +0400 Andrew Velikoredchanin
 wrote:

> > 
> > Плюс к тому при этом не так болезненна утечка рутового пароля
> > -- для входа в систему надо знать пользовательский (причем
> > пользователя, которому можно su/sudo) и, возможно, рутовый.
> 
> Но при переключении на рута через su пользователь должен ввести
> пароль рута? Насколько я знаю, в ssh шифруется только процедура
> подключения,а трафик идет в открытом виде.

Нет.


-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 12:08:00  up 1 day,  1:57,  8 users,  load average: 0.00, 0.03,
0.03

Re: [Comm] Re: ALT M 2.2 SSH root

[Maxim Tyurin]

On Thu, May 15, 2003 at 11:45:01AM +0400, Andrew Velikoredchanin wrote:
<scip>
> Но при переключении на рута через su пользователь должен ввести пароль 
> рута? Насколько я знаю, в ssh шифруется только процедура подключения,а 
> трафик идет в открытом виде. В таком случае при su от юзера пароль рута 
> будет передаваться через сеть в открытом виде.
> Или я не прав?
Совсем не прав. 
Весь трафик шифруется (и может ужимается)
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[Comm] Re: ALT M 2.2 SSH root

[Michael Shigorin]

On Thu, May 15, 2003 at 11:39:27AM +0400, Alexander Simernin wrote:
> Уважаемые, а разъяснит кто-нибудь, чем это может реально
> грозить человеку, у которого руки не трясутся, голова трезва и
> знания достаточны?

24x7?

Две проблемы -- (1) привычка и (2) усталость, которая бывает.

Если они пересекаются -- а все мы люди -- неприятности обычно
предпочитают вылезти, чем остаться в сторонке.

Если человек просто не подходит к станку в сколь-нибудь
неадекватном принимаемой ответственности состоянии -- обычно к
этому времени он уже сам способен оценить (не)применимость таких
советов к _себе_ (а зачастую их и дает _другим_) и принять
правильное решение.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: ALT M 2.2 SSH root

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 1333 bytes --]

On Thu, 15 May 2003 12:07:09 +0400
Alexander Simernin <simernin@maxus.ru> wrote:

<skipped/>

> А чем опасно постоянно работать под рутом например на своей
> рабочей станции в локалке или дома ? :)
> Опасность эта - чисто теоретическая и, повторюсь, нормальному
> человеку она не грозит, только криворуким особям...

Опасность эта практическая, что подтверждается количеством root
exploit'ов.

Тонкости security знают далеко не все пользователи и
администраторы, и далеко не все будут их изучать - слишком
большие затраты при малой отдаче. 

Поэтому проще прислушаться к мнению профессионалов, которые эти
тонкости знают и могут практически использовать (или закрыть)
возможные уязвимости.

В данном случае мнение профессионалов выражено в настройке ssh по
умолчанию. 

И не стоит публично афишировать работу под рутом с аргументами "я
внимателен", "у меня прямые руки" - это, скорее, редкость :)

PS Спички детям действительно не игрушка, пожарники могут это с
вескими и очень тяжёлыми аргументами объяснить ;) 

Если Вас действительно интересуют последствия работы под рутом,
стоит ознакомиться с разницей работы программ в разных локалях, с
разными настройками PATH и т.д. Вопрочем, я тут далеко не
специалист :)

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ALT M 2.2 SSH root

[Ablamsky Taras]

On Thu, May 15, 2003 at 10:44:06AM +0400, dpotap@fromru.com wrote:
> Привет олл.
> 
> Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> SSH можно было подключиться к lin машине root'ом?

Не стоит под root'ом -- плохо это.
Лучше пользовать su.

> Использую программку putty.
> При установке указал установить SSH, при выборе стартуемых служб
> указал SSH. Подлючиться могу, но только обычным пользователем. При
> попытке подключиться root'ом после ввода пароля выводится сообщение
> Access dinied. Наверное по умолчанию для безопасности сделано так,
> чтобы рутом нельзя было залогинится по сети. Где че подправить?

в конфиге sshd.

Читайте man sshd на предмет PermitRootLogin.
(в ALT он даже на русском)


--
taras

[Comm] Re: ALT M 2.2 SSH root

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 370 bytes --]

On Thu, 15 May 2003 12:05:13 +0400
Владимир <fmfm@symmetron.msk.ru> wrote:

<skipped/>

> Если говорить о putty, по умолчанию используется ssh1.
> Для использования ssh2 это нужно явно указать в настройках -
> рекомендую.

Можно ещё на сервере в sshd отключить поддержку ssh1.

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ALT M 2.2 SSH root

[Andrew Velikoredchanin]

Maxim Tyurin wrote:
> On Thu, May 15, 2003 at 11:45:01AM +0400, Andrew Velikoredchanin wrote:
> <scip>
> 
>>Но при переключении на рута через su пользователь должен ввести пароль 
>>рута? Насколько я знаю, в ssh шифруется только процедура подключения,а 
>>трафик идет в открытом виде. В таком случае при su от юзера пароль рута 
>>будет передаваться через сеть в открытом виде.
>>Или я не прав?
> 
> Совсем не прав. 
> Весь трафик шифруется (и может ужимается)

Всем спасибо за разъяснения! :)
Мне почему-то казалось, что только процедура входа в ssh шифруется. 
Обратное очень радует. :)

Re: [Comm] ALT M 2.2 SSH root

[KoLyA]

From: dpotap@fromru.com
Subject: [Comm] ALT M 2.2 SSH root
> Подскажите, пожалуйста, что нужно подправить чтобы с win машины через
> SSH можно было подключиться к lin машине root'ом?
> Использую программку putty.
> При установке указал установить SSH, при выборе стартуемых служб
> указал SSH. Подлючиться могу, но только обычным пользователем. При
> попытке подключиться root'ом после ввода пароля выводится сообщение
> Access dinied. Наверное по умолчанию для безопасности сделано так,
> чтобы рутом нельзя было залогинится по сети. Где че подправить?
> 
> С уважением, Потапов Дмитрий.
> 

это так и надо. входишь юзером, и потом уже делаешь su root.
подправить в принципе можно, но смысл?..

Re: [Comm] ALT M 2.2 SSH root

[Alexey Voinov]

[-- Attachment #1: Type: text/plain, Size: 1195 bytes --]

Alexander Simernin wrote
> > Все верно - у меня та-же ситуация. Но недавно знакомые линуксоиды меня
> 
> А чем опасно постоянно работать под рутом например на своей рабочей станции в 
> локалке или дома ? :)
> Опасность эта - чисто теоретическая и, повторюсь, нормальному человеку она не 
> грозит, только криворуким особям...
Приведу реальный пример. Года полтора назад в WindowMaker была найдена
прелюбопытнейшая уязвимость: переполнение буфера при отрисовке заголовка
окна. Соответственно, создатель какой-нибудь странички на веб, мог
использовать специально составленный <title> таким образом, чтобы
выполнить код от того пользователя, которым был запущен броузер. (Броузер
приведён как реальное приложение, так как заголовки есть почти у всех
окон, то программ таких очень много).

Теперь представляем, что кто-то проделал этоу операцию в сидя в
WindowMaker под root.

Так что опасность совсем даже и не теоретическая, а весьма реальная.

-- 
Best Regards!           | Когда вам платят за работу, надо по крайней мере
Alexey Voinov           | делать вид, что вы работаете...
                        |                         Б.Виан "Осень в Пекине"
voins@voins.program.ru
vns@altlinux.ru


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALT M 2.2 SSH root

[Alexander Simernin]

В сообщении от Четверг 15 Май 2003 15:13 вы написали:
> Alexander Simernin wrote
>
> > > Все верно - у меня та-же ситуация. Но недавно знакомые линуксоиды
>
> меня
>
> > А чем опасно постоянно работать под рутом например на своей рабочей
>
> станции в
>
> > локалке или дома ? :)
> > Опасность эта - чисто теоретическая и, повторюсь, нормальному человеку
>
> она не
>
> > грозит, только криворуким особям...
>
> Приведу реальный пример. Года полтора назад в WindowMaker была найдена
> прелюбопытнейшая уязвимость: переполнение буфера при отрисовке заголовка
> окна. Соответственно, создатель какой-нибудь странички на веб, мог
> использовать специально составленный <title> таким образом, чтобы
> выполнить код от того пользователя, которым был запущен броузер.
> (Броузер
> приведён как реальное приложение, так как заголовки есть почти у всех
> окон, то программ таких очень много).
>
> Теперь представляем, что кто-то проделал этоу операцию в сидя в
> WindowMaker под root.
>
> Так что опасность совсем даже и не теоретическая, а весьма реальная.

Сие, безусловно, реальная опасность, только вот много ли человек сидят под 
root в WM и открывают именно эту страничку ? :)
Ни один нормальный сайт (на который ходит много людей) таких вольностей себе 
не позволит, а хоумпаги простых смертных - отнюдь не самые посещаемые места.
Наиболее вероятно в таком случае, что эта "атака" будет направлена на 
конкретного человека, притом знающим типом, который в курсе чем пользуеся 
жертва, чем ее завлечь на сайт, какой стоит desktop manager, где какие 
конфиги лежат и т.п., в общем - досконально знать систему жертвы.
А если кто-то всерьез и грамотно решит кого-то облапошить (атаковать и пр.) - 
он найдет для этого способы и без переполнения буфера в оконном менеджере.
Тем более что подобные дыры закрываются чуть ли не на следующий день после 
выявления. Так что атакующему надо будет еще и быть уверенным, что данная 
дырка еще не прикрыта... 
В общих чертах опасность остается опять-таки скорее в гипотетическом 
варианте... 
Реальных (и стоящих того, чтобы терпеть некоторые неудобства перманентно) 
случаев никто пока не приводил, одни слухи и домыслы, которые похожи на доки 
от M$ - туманные и расплывчатые...
Естественно никто не станет на выставленном в инет сервере оставлять открытой 
сессию рута больше того времени, которое необходимо для выполнения 
мейнтенанса системы. А пользователь, опять таки, сделавший su - это тот-же 
рут, и теоретическая "опасность" от этого опять таки не меньше...
Может хоть кто-нибудь привести _реальный_ пример реальной опасности?

-- 
Best regards,								mailto:simernin@maxus.ru
 Alexander!

[Comm] Re: ALT M 2.2 SSH root

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 509 bytes --]

On Thu, May 15, 2003 at 06:44:06PM +0400, Alexander Simernin wrote:
> Может хоть кто-нибудь привести _реальный_ пример реальной опасности?

Сумма гипотетических опасностей дает опасность реальную.  Мозилла,
запущенная от рута, может точно так же протроянить всю систему, как это
происходит в Win32 через MSIE.

Вообще, надежные системы строятся по принципу "least privilege
principle" (т.е. все процессы должны исполняться с минимально
необходимыми правами).  ALT делает надежные системы.  О чем тут спорить?

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ALT M 2.2 SSH root

[Alexander Simernin]

В сообщении от Четверг 15 Май 2003 19:08 вы написали:
> On Thu, May 15, 2003 at 06:44:06PM +0400, Alexander Simernin wrote:
> > Может хоть кто-нибудь привести _реальный_ пример реальной опасности?
>
> Сумма гипотетических опасностей дает опасность реальную.  Мозилла,
> запущенная от рута, может точно так же протроянить всю систему, как это
> происходит в Win32 через MSIE.
>
> Вообще, надежные системы строятся по принципу "least privilege
> principle" (т.е. все процессы должны исполняться с минимально
> необходимыми правами).  ALT делает надежные системы.  О чем тут спорить?

Надежней, да. Никто не спорит :)
Только если грамотно патчить систему, и иметь прямые руки, вполне можно не 
страдать паранойей, особенно если сидишь тихо мирно в локалке или дома...
У меня 2 линуксовых сервера, на тех естественно ни одной сессии постоянно не 
открыто, если открываю от рута - не более чем минут на 10-15, и все в 
порядке...
Следует немного хотя-бы различать безопасность сервера и домашней воркстанции 
IMHO :) 
Я разговор начинал вовсе не про сервер :)

-- 
Best regards,								mailto:simernin@maxus.ru
 Alexander!

[Comm] Re: ALT M 2.2 SSH root

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1235 bytes --]

On Fri, May 16, 2003 at 09:50:39AM +0400, Alexander Simernin wrote:
> Только если грамотно патчить систему, и иметь прямые руки, вполне можно не 
> страдать паранойей, особенно если сидишь тихо мирно в локалке или дома...

Да никто и не говорит про паранойю.  Least privilege principle -- это не
паранойя, а вполне здравый принцип, который позволяет свести к минимуму
возможные неприятности.  Как на сервере, так и на рабочей станции.
Действительно, зачем вам неприятности?  Прямые руки -- это одно, а
избегать непрятностей -- это несколько другое. :)

Что же касается ssh: при входе через обычного пользователя любая попытка
повышения прав (su, sudo) фиксируется в syslog'е.  А при входе от root
даже и не понятно, кто к вам ломится.  Поэтому по умолчанию оно отключено.

Да вы поймите, что всё делается "по уму" вовсе не потому, что вас
подозревают в кривых руках.  Просто лучше когда оно сразу лучше, а там
делайте что хотите...

> У меня 2 линуксовых сервера, на тех естественно ни одной сессии постоянно не 
> открыто, если открываю от рута - не более чем минут на 10-15, и все в 
> порядке...
> Следует немного хотя-бы различать безопасность сервера и домашней воркстанции 
> IMHO :) 
> Я разговор начинал вовсе не про сервер :)

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]