ALT Linux Team development discussions
 help / color / mirror / Atom feed
From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Новый control для  sshd: sshd-allow-gssapi
Date: Wed, 9 Oct 2019 16:45:53 +0300
Message-ID: <20191009134553.GG7970@altlinux.org> (raw)
In-Reply-To: <CAK42-Gr1mFuj=3Ac_zR3hx8EZFfuD1qbGeJHAe5a-ZTk53SoDA@mail.gmail.com>

On 2019-10-09 16:10:18 +0400, Evgeny Sinelnikov wrote:

 > по сути речь о том, стоит ли выносить дополнительные control-файлы
 > в специальный пакет, если они относятся к конкретному пакету? В
 > данном случае к openssh.

Если они ничего не тянут за собой - в общем случае особого смысла нет.

 >>> Мы в Саратовском офисе сделали новый control для переключения
 >>> возможности авторизации sshd с использованием GSSAPI
 >> s/авторизации/аутентификации/ :-)
 >>> Предлагаем забрать его в пакет openssh, так как функционал
 >>> относится именно к нему.
 >> Вопрос номер ноль: кому и зачем может быть нужна эта дырища?
 > А можно по-подробнее в чём конкретно это дырища, какие конкретно
 > векторы атак и при каких условиях подразумеваются? Иначе это
 > звучит слишком голосовно.

Любое включенное, но не настроенное средство аутентификации - дыра,
пока не доказано обратное.

 > В нашем случае, смысл в этом следующий. У нас довольно активно
 > пользователи из домена (то бишь админы), начинающие управлять
 > рабочими станциями, ходят через пароль/логин. Такой вот
 > windows-подход в домене на базе samba - ничего особенного.

Аааа... оно для локалки. Тогда вероятность атаки падает до очень
низкой, и тогда даже при неизменном очень высоком уровне ущерба
уровень риска падает до приемлемого среднего.

 >> Есть же PubkeyAuthentication - его достаточно для всего (в
 >> том числе для сертификатов ssh-rsa-cert-v01@openssh.com и
 >> ssh-ed25519-cert-v01@openssh.com).
 > Причём тут сертификаты?

Прежде всего, это штатное средство SSH. Ну и сами сертификаты на
определенный ключ можно выписывать хоть одноразовые или со сроком
действия в единицы-десятки секунд.

 > Кроме включения GSSAPI для серверной стороны (sshd-allow-gssapi),
 > нужен аналогичный - для клиентской (ssh-allow-gssapi).

Оно требует каких-то сборочных зависимостей? Если да - есть смысл
собирать отдельно openssh и openssh-featured

 > Ещё одна настройка, которая кажется интересной и которой я
 > постоянно пользуюсь - это группа remote [...]
 > Суть наличия дополнительной группы в том, чтобы дать право
 > на удалённый логин через ssh, не выдавая права на запуск su
 > (то есть не добавляя в группу wheel).

А еще можно просто выкинуть этот параметр и пускать всех, у кого
есть ключ.

 > Эти настройки - суть политики. Какие-то из них предполагается
 > включать сразу при вводе компьютеров в домен. Но, в целом, они
 > самоценны и вне контекста какой-либо инфраструктуры.

В локалке пофигу, но может выйти боком на оборудовании, торчащем
голой жопой в дикий интернет.

 > Так вот. Как лучше поступить? Держать их в отдельном пакете
 > или сразу интегрировать, в openssh?

Все же в openssh-featured :-)
Или, соответственно, в openssh-featured-control-gssapi


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


  reply	other threads:[~2019-10-09 13:45 UTC|newest]

Thread overview: 14+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2019-10-08 12:11 Igor Chudov
2019-10-08 14:21 ` Alexey V. Vissarionov
2019-10-08 17:30   ` Dmitry V. Levin
2019-10-09 11:58     ` Alexey V. Vissarionov
2019-10-09 14:53       ` Michael Shigorin
2019-10-10  4:55         ` Alexey V. Vissarionov
2019-10-10  9:37           ` [devel] [JT] задачи альта (was: Новый control для sshd: sshd-allow-gssapi) Michael Shigorin
2019-10-09 12:10   ` [devel] Новый control для sshd: sshd-allow-gssapi Evgeny Sinelnikov
2019-10-09 13:45     ` Alexey V. Vissarionov [this message]
2019-10-09 19:54       ` Evgeny Sinelnikov
2019-10-10  6:31         ` Alexey V. Vissarionov
2019-10-10 15:21           ` Evgeny Sinelnikov
2019-10-10 15:36 ` Dmitry V. Levin
2019-10-21 12:15     ` Dmitry V. Levin

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20191009134553.GG7970@altlinux.org \
    --to=gremlin@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git