From: "Волков Сергей" <vserge@menatepspb.msk.ru> To: <mandrake-russian@altlinux.ru> Subject: [mdk-re] Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Date: Wed Apr 4 10:21:13 2001 Message-ID: <01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru> (raw) In-Reply-To: <1024346968.20010404095841@chat.ru> ----- Original Message ----- From: Ivan Kudryashov <jony@chat.ru> To: Волков Сергей <mandrake-russian@altlinux.ru> Sent: Wednesday, April 04, 2001 9:58 AM Subject: Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса > Hello, Волков Сергей! > > 04.04.2001 09:16:20, you wrote: > > > >> Зарегистрировать всех инет-юзеров на сервере как пользователей, > >> раздать им статические IP, написать скрипт, который врубает > >> маскарадинг для IP пользователя при входе в систему и автоматом > >> вырубает его же при выходе. Тогда для работы в инете пользователь > >> обязан будет войти на сервер (можно заставить делать это через telnet, > >> или ещё как-нибудь). Соответственно, будет безразлично, с какой тачки > >> входит пользователь, но при его входе будет подниматься IP, > >> зарегистрированный на него. Естественно, обойти это можно, но только > >> путём кражи или подбора пароля, но надёжность пароля - головная боль > >> пользователя. И, кстати, DHCP в такой ситуации не нужен вообще. > > ВС> Иван ты предлагаешь написать прогу которая грубо говоря является клиент > ВС> серверной и при условии правильной авторизации пользователь работает в инете > ВС> в противном случае нет > > Да. Прошу пардону за некоторую сумбурность изложения, я сегодня по > дороге на работу ногу подвернул, болит, зараза, соображать мешает... > > ВС> Просто я к чему -- около двух лет назад у меня вставала такая > ВС> проблема в общежитиях университета РУДН, тогда попытка решить эту > ВС> задачу остановилась на уровне списка разрешенных MAC адресов, > ВС> однако народ быстро начал это дело пытаться обойти, в добавок ко > ВС> всему было выявлено что некоторые (особенно старые) сетевые карты > ВС> (ISA) могут самопроизвольно менять МАК адреса и так > > Про что я и говорю. В принципе, вопрос можно поставить так: можно ли > как-то идентифицировать компьютер, подключенный к сети, при условии, > что его пользователь может произвольным образом менять _любые_ его > настройки? Общий ответ на этот вопрос: если сетка - Ethernet, то > нельзя. Если витая пара, то можно попробовать сделать проверку > авторизации на уровне хабов, но это довольно нетривиальная задача. Я, > например, даже отдалённо не представляю, как за неё браться (хотя > способ, конечно, есть, надо в доках копаться). ну не знаю хаб устройство тупое и ему не прикажешь отдавать все адреса и даже не обратишся к нему :(( > > По этой причине единственный выход - авторизовать не комп, а > пользователя. Кстати, в win-сетях это можно сделать на уровне домена. > Очевидный, дедовский способ авторизации - заставить ввести пароль. > Дальше всё понятно. > это обходится нажатием простого ESC, однако согласен что по умолчанию всем пользователям присоить по DHCP можно принудительно левую сеть с роутингом в никуда > Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не > писать собственные проги, а просто прописать поднятие маскарадинга для > IP, зарегистрированного на пользователя, в его входных скриптах. И > отключение, соответственно, при выходе. Естественно, надо запретить > редактирование этих скриптов пользователю. Надо в инет - зайди по ssh а как менять на ходу IP если пользователь вошел с другого IP address > или telnet, введи пароль - и всё работает. Как только вышел - всё > отрубилось. Единственное неудобство - болтающееся на десктопе окно > телнета. Но это не страшно, ИМХО. При таком способе любые манипуляции > с IP, MAC - адресами, даже точкой подключения к сети, ничего не дают. > Если пользователь изменит данную ему настройку, он просто не выйдет в > инет (ну, изменил ты IP на соседский, пароль-то свой остался... так > что при входе поднимется не его, а твой IP). Надёжность этой системы > ограничивается только надёжностью криптозащиты и корректностью > действий пользователей по защите своих паролей от компрометации. Но > тут надо просто договориться, что каждый будет платить столько, > сколько отработано от его имени, и никаких разговоров на тему "я не > работал, меня хакнули". Хакнули - значит хреново пароль бережёшь. > > Если предусматривать дальнейшее расширение сети - можно действительно > написать CS-программку, которая будет заниматься всеми описанными > делами на клиенте. Но при объёме в десяток - другой пользователей это, > ИМХО, излишняя трата времени и сил. а еще эта задача похоже очень актуальна для домашних сетей, которых так много сейчас?? кто знает как она сейчас решается??? > > ------------------------------------------- > С уважением, > Ivan Kudryashov <jony@chat.ru> ICQ 1547081 > > > > _______________________________________________ > Mandrake-russian mailing list > Mandrake-russian@altlinux.ru > http://altlinux.ru/mailman/listinfo/mandrake-russian >
next prev parent reply other threads:[~2001-04-04 10:21 UTC|newest] Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top 2001-04-04 7:55 Зуев Дмитрий Федорович 2001-04-04 8:48 ` [mdk-re] RE: [mdk-re] Двавопроса Sergei 2001-04-04 9:05 ` [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov 2001-04-04 9:16 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Волков Сергей 2001-04-04 9:50 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov 2001-04-04 10:21 ` Волков Сергей [this message] 2001-04-04 19:07 ` [mdk-re] " Ivan Kudryashov 2001-04-05 2:00 ` [mdk-re] Re: [mdk-re] Два вопроса Mikhail Zabaluev 2001-04-05 10:08 ` [mdk-re] " Волков Сергей 2001-04-04 9:48 ` [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Alexandr Zhegallo 2001-04-04 10:13 ` Re[2]: " Ivan Kudryashov 2001-04-04 21:43 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Ivan Zakharyaschev 2001-04-04 22:07 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два в опроса Mikhail Nikitin 2001-04-04 23:54 ` [mdk-re] Re[2]: " Maksim Otstavnov 2001-04-04 21:05 ` Mikhail Nikitin 2001-04-04 22:57 ` [mdk-re] Re[2]: " Maksim Otstavnov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to='01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru' \ --to=vserge@menatepspb.msk.ru \ --cc=mandrake-russian@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git