Vlákno názorů k článku Quo vadis, Linux? od j3 - > Dnes asi málokdo používá ruční mountování disků,...
-
> Dnes asi málokdo používá ruční mountování disků, ruční nastavování sítě a i terminál vězí (v menu gnome) ve složce system, takže se zdá, že v mainstreamu získává stejnou pozici, jako má command.com ve Windows.
no treba ja kdyz neco potrebuju na notasu pripojit, tak ssh root@localhost a mount (vykonam co potrebuju) at se jedna o {cd|dvd}rom, mobil pres usb apod… nekdy mi to prijde jako opruz, ale je to prikazova radka a tu proste miluju – neni co resit.
na 2. stranu chapu postoje uzivatelu, kteri radi vic klikaji ;-)
na celou fedoru jsem zanevrel v dobe F8 → F9 (pouzival jsem ji kdysi v praci jako F1 a F2 – potom jsem se zkusil vratit, ale nepremluvilo mne to. od te doby gentoo.)
-
Ash (neregistrovaný)
Jinak pro změnu uživatele je tu memotechnický příkaz switch user (su). Šifrování z localhost na localhost je samozřejmě nesmysl, protože se to zase hned na místě rozšifrovává, a naopak je to bezpečnostní riziko, protože bez ssh se nejen nic nešifruje, ale ani nemusí, protože není co. Nikam nic „neteče“.
-
Asi jsem se nevyjádřil úplně jasně.
Předpokládám, že soukromý SSH klíč heslo má, ale navíc je spuštěn ssh-agent. Tj. když se poprvé přihlásím na vzdálený stroj, ssh-agent se zeptá na heslo. Když potom chci root na lokálním stroji, ssh už se mě neptá, zatímco sudo by se mě znovu ptalo, a to navíc na jiné heslo…
-
Ach jo, tak ještě jednou.
Situace: přijdu do práce, zapnu komp, přihlásím se na server xyz (přes SSH), pracuji, přihlásím se na server qwagh (opět přes SSH), pak si vzpomenu, že potřebuju změnit něco na konfiguraci lokálního stroje.
Se ssh-agent a sudo: při přihlášení na server xyz zadám passphrase od svého soukromého klíče, před změnou konfigurace na lokálu zadám heslo roota.
Se ssh-agent a ssh root@localhost: zadám pouze jednou passphrase svého soukromého klíče. ⇒ skutečný „single sign-on“. ;)
Chápu, že je to detail, ale co je na tom nebezpečného?
-
>> Chápu, že je to detail, ale co je na tom nebezpečného?
Je to IMHO stejně bezpečné, jako byste rovnou pracoval pod rootem – jakýkoli prográmek, kterému se podaří býti spuštěn pod Vaším účtem má automaticky neomezený přístup nejen k lokálnímu rootovi, ale i ke všem strojům, k nimž máte certifikáty v ssh-agent.
Samozřejmě je na Vašem posouzení, jestli to ve Vaší konkrétní situaci je či není adekvátně bezpečné.
-
To není pravda – sudo otevře přístup k rootovi jen na nějakou definovanou dobu OD POUŽITÍ ROOTOVSKÝCH PRIVILEGIÍ, zatímco ssh-agent otevře v popsaném scénáři přístup k rootovi OD PRVNÍHO POUŽITÍ SSH-AGENTA AŽ DO MÉHO ODHLÁŠENÍ. V případě sudo musí tedy trojský skript nějak vychytat tu chvíli, kdy zrovna sudo přístup k rootovi otevřelo, v případě ssh-agent mu stačí vychytat libovolnou dobu PO tom, co jsem ssh-agenta poprvé použil.
„Množství ohrožených účtů“ nechápu – má-li trojský kůň přístup k rootovi, má přístup ke všemu, co je v počítači – a navíc i ke všemu, co (bez hesla) zpřístupňuje ssh-agent.
-
> Dnes asi málokdo používá ruční mountování disků, ruční nastavování sítě a i terminál vězí (v menu gnome) ve složce system, takže se zdá, že v mainstreamu získává stejnou pozici, jako má command.com ve Windows.
Stejnou pozici jako cmd ve Windows terminál v Linuxu snad nezíská, byla by to obrovská škoda. Windowsovský command.com je za linuxovým terminálem silně zaostalý, nedá se to srovnávat. Už proto, že Linux je původně textový systém, narozdíl od Windowsu – ten se musí ovládat graficky.Terminál je prostě v Linuxu daleko užitečnější než windowsácké cmd a i když ho typický uživatel třeba nebude na nic nutně potřebovat, není důvod se ho kvůli tomu zbavovat. Naopak se hodí, když terminál a grafika se vhodně doplňují.
