From: "Fr. Br. George" <george@altlinux.ru>
To: ALT Linux Community <community@lists.altlinux.org>
Subject: Re: [Comm] Question on FTP
Date: Mon, 18 Sep 2006 14:09:55 +0400
Message-ID: <20060918100955.GC72289@grep.po.cs.msu.su> (raw)
In-Reply-To: <1158332166.26959.denwebmail-6@johnheadlong@nightmail.ru>
On Fri, Sep 15, 2006 at 06:56:06PM +0400, Headlong John wrote:
> Да, сейчас вот у меня люди получают доступ внутри локальной сети предприятия. Чтобы перехватить пароль необходимо перехватить пакеты, передаваемые от клиента серверу. Это означает, что либо пакеты должны ретранслироваться коммутатором на все порты, либо сервер или клиенты должны быть поражены злоумышленником. Но сейчас коммутаторы типа switching hub, они вроде не должны на все порты информацию дублировать?
Теоретически switching hub тоже подвержены атакам, например,
переполнения MAC-таблиц, отчего они либо затыкаются, либо превращаются в
ретранслирующие hub-ы. Кроме того, есть проблема hub-ов второго уровняЖ
кто их знет, фильтрующие ли они, т. е. нет ли рядом с сервером и в
особенности -- с клиентом -- компьютера, который спокойно сканирует все
пакеты соседа?
> Если будет доступ через интернет, то, соответственно, пароль может быть перехвачен в случае поражения промежуточных шлюзов/маршрутизаторов, через которые проходят пакеты от клиента к серверу.
Это вдобавок к предыдущему -- ведь теперь уже никто не сможет
гарантировать неутечку учётной записи на _клиентской_ стороне, кроме
самого клиента. А клиенты требуют гарантий от поставщика услуг.
> Что касается поражения сервера или клиента, то здесь, наверное, уже не имеет смысла вопрос о том, защищен протокол или нет. Я все правильно понимаю?
Да, но это как раз наименее вероятное при грамотном администрировании
событие.
> Насколько "правильным" должен быть пароль?
Любой, не подверженный переборным атакам. ALT Linux-овский (OWL-ский) в
стиле pam_qc вполне подойдёт.
> > С ней не шибко ладно дело обстоит, что удивительно.
> > В частности, ни одной нормальной сетевой ФС с user-based авторизацией
> > просто нет.
> А как же Samba?
Главный недостаток Samba -- невозможность испльзования её для
идентификации и авторизации в стиле pam (pam_winbind -- это просто фильм
ужасов какой-то). Это значит, что или _вся_ инфраструктура должна
строиться на Samba, или Samba останется _сторонней_ системой. Тогда для
доступа к ней придётся либо обучать пользователя запуску smbclient, либо
городить какие-то навигаторы в стиле винодвз, либо изобретать громоздкие
велосипеды с автомонтированием в .profile или ещё как. Последнее может
претендовать на включение в инфраструктуру, но случаи полной и удобной
реализации мне неизвестны.
--
Георгий Курячий (aka Fr. Br. George)
Руководитель образовательных проектов ALT Linux
mailto : george at altlinux_ru
next prev parent reply other threads:[~2006-09-18 10:09 UTC|newest]
Thread overview: 23+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-09-01 9:01 Headlong John
2006-09-11 9:55 ` Fr. Br. George
2006-09-12 7:50 ` Headlong John
2006-09-12 13:49 ` Fr. Br. George
2006-09-13 7:41 ` Headlong John
2006-09-14 14:10 ` Fr. Br. George
2006-09-15 14:56 ` Headlong John
2006-09-15 15:05 ` Serge Polkovnikov
2006-09-15 17:55 ` Maxim Tyurin
2006-09-16 8:54 ` Michael Shigorin
2006-09-18 10:21 ` Fr. Br. George
2006-09-17 18:11 ` Alexandr A. Alexandrov
2006-09-18 10:09 ` Fr. Br. George [this message]
2006-09-18 11:38 ` Michael Shigorin
2006-09-18 12:17 ` Fr. Br. George
2006-09-18 13:46 ` Maxim Tyurin
2006-09-18 16:44 ` Michael Shigorin
2006-09-20 11:31 ` Fr. Br. George
2006-09-20 17:53 ` Michael Shigorin
2006-09-22 12:50 ` Fr. Br. George
2006-09-22 19:36 ` Michael Shigorin
2006-09-18 10:14 ` Fr. Br. George
2006-09-14 14:18 ` Headlong John
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20060918100955.GC72289@grep.po.cs.msu.su \
--to=george@altlinux.ru \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git