On Mon, Jul 16, 2012 at 02:32:31AM +0400, Dmitry V. Levin wrote:
> > Дим, есть ещё и доверенные окружения,
> Доверенные окружения бывают только в упрощенных моделях угроз. :)

Причём упрощение порой производится физически. :)

> > где ssh имели в виду крупным планом по причине неприемлемой
> > производительности и/или латентности установления соединения.
> Если использовать connection sharing, то никакой латентности не будет.

Есть ещё http://www.psc.edu/index.php/hpn-ssh/640 и резоны для него
-- но всё равно спасибо, не знал.

> > Если считаешь, что этот пакет настолько вреден -- удали.
> > Мне же было бы интересно узнать, почему именно "не нужен".
> Его наличие в репозитории создает ложное ощущение пригодности
> для использования.  Квалификация, требуемая для осознанного
> решения использовать rsh вместо ssh, сравнима с квалификацией,
> необходимой для грамотной кастомизации кода ssh по месту.

Случаи бывают разные, в т.ч. необходимость взаимодействия
с legacy equipment.


On Tue, Jul 17, 2012 at 09:54:08AM +0900, Alexei Takaseev wrote:
> > > Погодите, погодите. Чем наличие клиента rsh несет угрозу?
> > И это тоже -- может, тогда сделать что-нить с серверной частью,
> > чтоб пользование подразумевало сознание (например, control,
> > переключающий права на бинарник с 644 на 755)?
> Дык, как раз серверную часть можно вообще не пакетить,
> оставить только клиента.

Он suid-ный, а я это благополучно проморгал при работе над спеком.
Подумал и решил сделать из коробки соответственно control netadmin
-- несетевым неадминистраторам эта функциональность вряд ли нужна,
а таковым пригодятся и другие утилиты в этом режиме.

Не'control'ируемыми остались rexec и in.rdisc, если стоит тоже
засунуть (только без SUID) -- просьба сообщить.

BTW попутно усовершенствован механизм управления правами на
несколько бинарников одновременно, изначально подсмотренный
в /etc/control.d/facilities/mount.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/