alex kuklin -> debian-russian@lists.debian.org @ Sat, 02 Feb 2008 16:15:24
+0300:
>> Когда человеку нужен шелл, он обычно обладает достаточной
>> квалификацией для понимания своей части протокола безопасности. А
>> типичный человек, которому нужно файлы из дома в офис гонять - нет.
>>
ak> В порядке голоса из помойки - но зачем давать пользователю,
ak> которому нужно только гонять файлы по scp, полный shell?....
Не знаю. Ты придумал вопрос, ты на него и отвечай... У меня "нужен
шелл" стоит под "если". Т.е. это посылка. А случай, когда не нужен,
рассматривается во втором предложении :-)
Предупреждая дополнительные вопросы. У меня есть большие сомнения в
том, что в scponly реализовано все, что требуется от парольного ftp, и с
той же надежностью. И что у самого ssh с scponly взаимодействие
соответствующее. Потому что изначально этого в архитектуру не
закладывалось.
Ну, в общем, да... Беглый просмотр манов и README показывает, что
scponly - зверь в плане безопасности весьма сомнительный... И с
chroot-функциональностью у него явные проблемы. Ман на scponly
утверждает, что можно делать chroot в любую директорию, куда у юзера
есть достаточные права, но делает это scponlyc. Ман на scponlyc
описывает только "в домашнюю директорию". Никакого иного описания того,
как можно развести корень чрута и домашнюю директорию, мне в комплекте
документации не попалось. И сама по себе необходимость держать там не
просто chroot, а полноценный jail, не может радовать.
Поддержка "полуинтерактивности" (совместимости с WinSCP), судя по тону в
документации, опять же не планировалась изначально, а была привинчена
потом. Очень не факт, что она вписывается в архитектуру, а не
проделывает в ней дополнительную дыру. Если, конечно, этой дыры в этой
архитектуре изначально не было.
В общем, sublimation.org, нивапрос... На взгляд - уровень wu-ftpd.
Который, конечно, UNIX way, но использовать который можно только в
trusted сетях. Ну так в trusted сети его и нужно использовать. А
scponly неприятно попахивает очень красивой иллюзией безопасности.
И кстати, rsync он, похоже, не поддерживает...
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED]
Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
http://www.livejournal.com/~dottedmag/158509.html
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
