Zeptam se znova - jak nastavim minimalni vek hesla a pocet hesel co se bude pamatovat? Pokud tyhle dve veci nemuzu nastavit tak nic nezabrani uzivatelum aby si po vyprseni hesla nezmenili heslo na nejaky docasny a hnedka zpatky na to co meli (co jim zrovna vyprselo), cimz je cely koncept vyprseni hesel naprosto o nicem.
Udelas, kdyz mas hesla napsany nekde na listecku a to nekde je v zamknuty serverovne do ktery ma pristup nekolik malo lidi. Ucelem je hodne zneprijemnit remote utoky, fyzicky utoky sou relativne jednoduse zjistitelny (serverovna ma elektronicky zamky a kamery, kde si muzes najit kdo tam kdy byl). Takze jedine 1 a 2 :) Jinak nejlepsi bude asi 4) Pouzivani smart karet, kde uzivatel heslo ani nezna, kde je heslo hooodne slozity (protoze muze byt vice mene nahodny) a kde se meni hodne casto (protoze si ho uzivatel nemusi pamatovat).
A jeste pridam: ja sem tohle zacal kvuli tomu ze mi prijde nesmyslny mit moznost dat maximalni vek hesla kdyz to bez techhle dvou dalsich nastaveni je to naprosto neefektivni.
Tohle je featura, ktera me naprosto neskutecne toci. Proc bych si mel neustale menit hesla? Akorat to vede k tomu, ze nevim, kde jaky heslo mam.
Driv, nez jsem se dostal k takhle nastavenymu systemu, jsem mel hesla stylu 0kW4kf0c, ktera jsem nemenil. Pri psani vsema deseti se tohle fakt blbe okoukava, blbe rippuje.
Ted mam hesla ve stylu pepik123, auticko, kolobezka. Proste neco, co se dobre pamatuje, dobre zkousi a dobre meni.
No to si delate legraci? Uvedomte si, ze vetsina administratorskych features linuxu prisla z BSD.
Navic v BSD, jako kompletnim OS, jsou takove veci homogenne integrovany napric celym OS (na rozdil od Linuxu).
Pripravte se, ze vas serial jeste prekvapi tim, co se v BSD pouziva nejmene deset let.
Myslim, ze v takovem stavu jsi nemel spusteneho daemona sshd a ani jinou sluzbu, ktera by byla dostupna ze site. Takze riziko ownuti systemu nebylo zase tak velike ne? A kdyz uz nekdo ma pristup fyzicky k PC, tak na to je kazde OS kratkej (jedine sifrovanej HDD/RAID).
V cem je tedy problem?
no a jestli se pletu, tak me ignorujte :)
Vas prizpevek mi pripada penekud zavadejici, tak mi prosim odpuste ze Vas doplnim.
4.x rada mi s USB nikdy nespadla, mozna se o tom nekde psalo, ale me se to nestalo. pravdou je ze podpora USB ve 4kove rade je uboha a jedine co jsem pouzival, byl USB disk.
5kova rada ma sirsi podporu USB zarizeni a nektere zarizeni (osobne mam zkusenost s nekterymi fotaky) shodi cely system.
neni "celou pravdou" ze FreeBSD je shazovano USB.
a je nepravdou ze jakekoliv FreeBSD ma problemy s jakymkoliv USB zarizenim.
Ze konkretne Vam 4.x rada nespadla, rozhodne neznamena, ze tato rada nema s USB problemy. A to jak s USB disky, tak s Palmem. Staci si jen pohrat s vytahovanim techto zarizeni. Je ale zajimave, ze se to projevilo jen s nekterymi USB disky.
Souhlasim. FreeBSD neni shazovano USB, ale samo sebou. Tj. spatne napsanym kodem nekde od ovladace vys. A rozhodne FreeBSD nema problemy s cimkoli. Problemy maji jen jeho uzivatele. Tak nejak jste to myslel?
pokud se nakopl disk takovym zpusobem ze ho fsck bez pomoci uzivatele nedokazal opravit tak system sam nabehne do singlu (neco jako runlevel0) zepta se pouze na shell, pokud chcete aby i v tomto pripade vyzadoval heslo, staci zmenit v /etc/ttys
console none unknown off secure
na insecure
potom bude system vyzadovat prihlaseni se i v jednouzivatelskem rezimu.
pri fysickem pristupu k PC neni problem nabootovat z jineho media, mountnout puvodni disk a zmenit heslo (puvodni muze zazalohovat a po utoku vratit zpet, takze nic nepoznate). na druhou stranu v singlu nebezi zadne sitove sluzby a vzdalene neni mozne takoveho invalidu zkompromitovat
Ako bolo spomenute, existuje niekolko sposobov... ja ich tiez pouzivam podla situacie, ale tento sa mi paci najviac:
niekde do $PATH si pridam jednoduchucky user_ban script
!#/bin/sh
echo "sHell konto je zablokovane, smola :)"
no a pridam ho ako shell do /etc/shells
a nastavim cez vipw do /etc/passwd ako shell
Simple trik, kt. blokuje len sHell a ostatne nie :).
trik je to peknej, ale napriklad stahovani posty pres pop3 a imap nezabrani. zablokuje to pouze sluzby vyzadujici shell (ssh, telnet, ftp)
vyrazne doporucuju psat do takovychto scriptu absolutni cestu k souborum (/bin/echo).
budu sHell a budu cekat ze se me pokusi admin zastavit timto scriptem. nastavim si v .prifile promenou PATH=/home/sHell/bin:/bin:/sbin... a nalinkuju /bin/sh -> /home/sHell/bin/echo
smola :(
Dobry den,
hram sa momentalne s FreeBSD 4.10 RC1 a nemozem sa pripojit na ssh. Ked sa prihlasujem zo svojho slackwaru tak mi nezoberie heslo, ked sa prihlasujem zo systemu RedHat9 tak connection timeout a ked z Windows2000 cez Putty, tak mi tiez nezoberie heslo. Prihlasujem sa pod uzivatelom root na roota. Nmap na BSDcko hlasi ze ssh bezi. Viem, ze toto nie je ziadna poradna, ale neviete mi prosim vas poradit? Vdaka.