From: "Fr. Br. George" <george@altlinux.ru> To: ALT Linux Community <community@lists.altlinux.org> Subject: Re: [Comm] Question on FTP Date: Mon, 18 Sep 2006 14:09:55 +0400 Message-ID: <20060918100955.GC72289@grep.po.cs.msu.su> (raw) In-Reply-To: <1158332166.26959.denwebmail-6@johnheadlong@nightmail.ru> On Fri, Sep 15, 2006 at 06:56:06PM +0400, Headlong John wrote: > Да, сейчас вот у меня люди получают доступ внутри локальной сети предприятия. Чтобы перехватить пароль необходимо перехватить пакеты, передаваемые от клиента серверу. Это означает, что либо пакеты должны ретранслироваться коммутатором на все порты, либо сервер или клиенты должны быть поражены злоумышленником. Но сейчас коммутаторы типа switching hub, они вроде не должны на все порты информацию дублировать? Теоретически switching hub тоже подвержены атакам, например, переполнения MAC-таблиц, отчего они либо затыкаются, либо превращаются в ретранслирующие hub-ы. Кроме того, есть проблема hub-ов второго уровняЖ кто их знет, фильтрующие ли они, т. е. нет ли рядом с сервером и в особенности -- с клиентом -- компьютера, который спокойно сканирует все пакеты соседа? > Если будет доступ через интернет, то, соответственно, пароль может быть перехвачен в случае поражения промежуточных шлюзов/маршрутизаторов, через которые проходят пакеты от клиента к серверу. Это вдобавок к предыдущему -- ведь теперь уже никто не сможет гарантировать неутечку учётной записи на _клиентской_ стороне, кроме самого клиента. А клиенты требуют гарантий от поставщика услуг. > Что касается поражения сервера или клиента, то здесь, наверное, уже не имеет смысла вопрос о том, защищен протокол или нет. Я все правильно понимаю? Да, но это как раз наименее вероятное при грамотном администрировании событие. > Насколько "правильным" должен быть пароль? Любой, не подверженный переборным атакам. ALT Linux-овский (OWL-ский) в стиле pam_qc вполне подойдёт. > > С ней не шибко ладно дело обстоит, что удивительно. > > В частности, ни одной нормальной сетевой ФС с user-based авторизацией > > просто нет. > А как же Samba? Главный недостаток Samba -- невозможность испльзования её для идентификации и авторизации в стиле pam (pam_winbind -- это просто фильм ужасов какой-то). Это значит, что или _вся_ инфраструктура должна строиться на Samba, или Samba останется _сторонней_ системой. Тогда для доступа к ней придётся либо обучать пользователя запуску smbclient, либо городить какие-то навигаторы в стиле винодвз, либо изобретать громоздкие велосипеды с автомонтированием в .profile или ещё как. Последнее может претендовать на включение в инфраструктуру, но случаи полной и удобной реализации мне неизвестны. -- Георгий Курячий (aka Fr. Br. George) Руководитель образовательных проектов ALT Linux mailto : george at altlinux_ru
next prev parent reply other threads:[~2006-09-18 10:09 UTC|newest] Thread overview: 23+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-09-01 9:01 Headlong John 2006-09-11 9:55 ` Fr. Br. George 2006-09-12 7:50 ` Headlong John 2006-09-12 13:49 ` Fr. Br. George 2006-09-13 7:41 ` Headlong John 2006-09-14 14:10 ` Fr. Br. George 2006-09-15 14:56 ` Headlong John 2006-09-15 15:05 ` Serge Polkovnikov 2006-09-15 17:55 ` Maxim Tyurin 2006-09-16 8:54 ` Michael Shigorin 2006-09-18 10:21 ` Fr. Br. George 2006-09-17 18:11 ` Alexandr A. Alexandrov 2006-09-18 10:09 ` Fr. Br. George [this message] 2006-09-18 11:38 ` Michael Shigorin 2006-09-18 12:17 ` Fr. Br. George 2006-09-18 13:46 ` Maxim Tyurin 2006-09-18 16:44 ` Michael Shigorin 2006-09-20 11:31 ` Fr. Br. George 2006-09-20 17:53 ` Michael Shigorin 2006-09-22 12:50 ` Fr. Br. George 2006-09-22 19:36 ` Michael Shigorin 2006-09-18 10:14 ` Fr. Br. George 2006-09-14 14:18 ` Headlong John
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20060918100955.GC72289@grep.po.cs.msu.su \ --to=george@altlinux.ru \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git