From: Mikhail Zabaluev <mookid@sigent.ru>
To: mandrake-russian@altlinux.ru
Subject: [mdk-re] Re: [mdk-re] Два вопроса
Date: Thu Apr 5 02:00:12 2001
Message-ID: <20010404123843.E1588@localhost.localdomain> (raw)
In-Reply-To: <01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru>; from vserge@menatepspb.msk.ru on Wed, Apr 04, 2001 at 10:21:22AM +0400
Hello Волков,
On Wed, Apr 04, 2001 at 10:21 +0400, Волков Сергей wrote:
>
> > По этой причине единственный выход - авторизовать не комп, а
> > пользователя. Кстати, в win-сетях это можно сделать на уровне домена.
> > Очевидный, дедовский способ авторизации - заставить ввести пароль.
> > Дальше всё понятно.
> >
> это обходится нажатием простого ESC, однако согласен что по умолчанию всем
> пользователям присоить по DHCP можно принудительно левую сеть с роутингом в
> никуда
>
> > Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не
> > писать собственные проги, а просто прописать поднятие маскарадинга для
> > IP, зарегистрированного на пользователя, в его входных скриптах. И
> > отключение, соответственно, при выходе. Естественно, надо запретить
> > редактирование этих скриптов пользователю. Надо в инет - зайди по ssh
>
> а как менять на ходу IP если пользователь вошел с другого IP address
>
> > или telnet, введи пароль - и всё работает. Как только вышел - всё
> > отрубилось. Единственное неудобство - болтающееся на десктопе окно
> > телнета. Но это не страшно, ИМХО. При таком способе любые манипуляции
> > с IP, MAC - адресами, даже точкой подключения к сети, ничего не дают.
> > Если пользователь изменит данную ему настройку, он просто не выйдет в
> > инет (ну, изменил ты IP на соседский, пароль-то свой остался... так
> > что при входе поднимется не его, а твой IP). Надёжность этой системы
> > ограничивается только надёжностью криптозащиты и корректностью
> > действий пользователей по защите своих паролей от компрометации. Но
> > тут надо просто договориться, что каждый будет платить столько,
> > сколько отработано от его имени, и никаких разговоров на тему "я не
> > работал, меня хакнули". Хакнули - значит хреново пароль бережёшь.
> >
> > Если предусматривать дальнейшее расширение сети - можно действительно
> > написать CS-программку, которая будет заниматься всеми описанными
> > делами на клиенте. Но при объёме в десяток - другой пользователей это,
> > ИМХО, излишняя трата времени и сил.
>
> а еще эта задача похоже очень актуальна для домашних сетей, которых так
> много сейчас??
> кто знает как она сейчас решается???
Насколько я знаю, в коммерческих сетях масштаба микрорайона (о где вы,
где вы, эти микрорайоны) решаются сразу две проблемы - авторизация и
исключение "нюхачей" - путем установки IPSec или подобных
защищенных соединений между машиной клиента и провайдерской точкой
доступа и accounting'а. Конечно, потребуется поддержка на стороне клиента,
но в нашем любимом дистрибутиве этого добра в ядре хватает :)
--
Stay tuned,
MhZ
___________
Moderation is a fatal thing. Nothing succeeds like excess.
-- Oscar Wilde
next prev parent reply other threads:[~2001-04-05 2:00 UTC|newest]
Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top
2001-04-04 7:55 [mdk-re] " Зуев Дмитрий Федорович
2001-04-04 8:48 ` [mdk-re] RE: [mdk-re] Двавопроса Sergei
2001-04-04 9:05 ` [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov
2001-04-04 9:16 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Волков Сергей
2001-04-04 9:50 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov
2001-04-04 10:21 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Волков Сергей
2001-04-04 19:07 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov
2001-04-05 2:00 ` Mikhail Zabaluev [this message]
2001-04-05 10:08 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] Два вопроса Волков Сергей
2001-04-04 9:48 ` [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Alexandr Zhegallo
2001-04-04 10:13 ` Re[2]: " Ivan Kudryashov
2001-04-04 21:43 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Ivan Zakharyaschev
2001-04-04 22:07 ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два в опроса Mikhail Nikitin
2001-04-04 23:54 ` [mdk-re] Re[2]: " Maksim Otstavnov
2001-04-04 21:05 ` Mikhail Nikitin
2001-04-04 22:57 ` [mdk-re] Re[2]: " Maksim Otstavnov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20010404123843.E1588@localhost.localdomain \
--to=mookid@sigent.ru \
--cc=mandrake-russian@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git