"Nechci vas strasit, ale v principu to je nesmysl, protoze musite prenest klic bezpecnym zpusobem na terminal. Dale musite zabezpecit, ze se k tomu klici nikdo nedostane (napr. nepodvrhne jadro nebo root FS) atd."
Ted mi nejak nedochazi, jak to myslis.
ad prenos klice nesifrovanym kanalem) nejsem zase tak velkej prebornik na bezpecnost a sifrovani, takze nevim, jestli je hodne velkej problem, kdyz poslu klic zasifrovanej dostatecne silnym heslem pres nechranenej kanal. Mozna posilat klic od el.bankovnictvi zasifrovany slabym heslem (rozumnej 5-7 pismen a-z, max. jedno velky) emailem je asi dost velke riziko, ale poslat klic zasifrovany dostatecne dlouhym heslem (coz muzou byt kombinovane najeke ID dilu pocitace) pres lokalni LAN, navic klic ktery ma slouzit pouze k pripojeni pro lokalni VPN, to snad nebude tak velke riziko, ne? Prakticky je jedno, jestli se klic prenasi nesifrovanym kanalem, protoze ve realu bude initrd ulozene na tftp, takze by zrejme utocnik mohl mit moznost si ho stahnout sam.
ad ze se k tomu klici nikdo nedostane) teoreticky pokud na tom stroji nedokaze spustit jiny system (to je asi myslene tim "nepodvrhne jadro nebo root FS") tak by nemel mit pristup k tomu klici, navic i kdyby, tak by klic mel byt pouze v sifrovane podobe.
Jedina hrozba, kterou bych ja videl by byla v pripade, ze by utocnik mohl do site zapojit vlastni stroj s DHCP serverem.
Názor k článku
X window a terminálový server na FreeBSD
