On Mon, Jul 31, 2006 at 02:05:15AM +0400, Dmitry V. Levin wrote: > > > > > > BTW, может иметь смысл вешать что-нить вроде бэкдорного > > > > > > шелла с очень специфическими ограничениями доступа. Тут > > > > > > недавно присылали нечто подобное, забыл, <что>sh. > > > > > Ой-ой-ой!! Не нужно вешать бэкдорных шеллов. Покайся!! > > > > Знаешь, когда telnet уже тяжеловат (даже если аутентификация > > > > ещё не развалилась), поневоле задумаешься. С айпишничка в > > > > пределах свича. Или вообще через кросс. Или по сериалке. > > > > Разумеется, если есть ещё один таз там же. > > > Есть более традиционный, безопасный и надёжный подход: > > > предварительно проверять изменения (в данном случае обновление > > > системы) на стенде. > > Жизнь на стенде не прокрутишь, обновлениями проблемы не > > ограничиваются. > sshd и то, что для него нужно, на стенде проверяется. > Об этом ведь шла речь? Не совсем. Или ты также проверяешь его в условиях жёсткого thrashing, когда попросту клиент по таймауту вываливается? Т.е. машинка жива, но реагирует по полчаса. И вот тот самый nice -20 sh из Немет оказывается очень даже кстати, если до него получается добраться. Ещё бывают вариации на тему "сетевая со свичом жили-жили, жили-жили, жили-жили, и вдруг упали", "раскручивали соседа по стойке, зацепили eth0" и вполне достаточно других комбинаций, чтобы не хотеть SPOF ни в виде sshd, ни в виде eth0 даже там, где за город после часа простоя в багажнике не скатают. Возможно, _дистрибутивным_ выходом может быть какой-нить dropbear с задранным nice, висящий опять же на левом порту и строго на эн-малое IP-адресов и пользователей. Не знаю, какую из подобных реализаций меньше полоскали по bugtraq@. > В терминологии, предложенной на круглом столе, это небольшое > множество софта называется "проигрыватель пластинок". :> -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/