date:20020129




  когда запускаю сабж, стартанув иксы рутом - все в норме
  при старте обычным юзером сабж осыпается за нехваткой пермишенов
  если под иксами запустить терминал, в нем su, а затем сабж, то сабж
  ругается что не может открыть дисплей

  Это нормальная ситуация?



   Не совсем.



  Если да - как обойти?



  Если нет - как побороть?


  В общем пока в Debian это обходят и борятся, в других

дистрибутивах типа Mandrake и RH уже давно
существует модуль PAM, который позволяет
авторизовать пользователя на root'а в Иксах.

   Далее этот модуль цепляется на программу
usermode, которая соответственно цепляется за
ту прогу, которая должна выполняться с
правами root


Объяснение сложное, но работает до
смешного просто. Без всяких движений
пользователя при запуске программ,
которые хотят root'а от обычного пользователя
на экране появляется приглашение на ввод
root'ового пароля. Если пароль введен
правильно, то означенная программа
запускается с правами root'а от обычного
пользователя.

В Debian чтобы не заморачиваться через xhost,
я могу посоветовать настроить программу sudo,
но это все не очень здорово

Виктор

Re: gnome-apt

On Tue, 29 Jan 2002, Viktor Vislobokov wrote:

> >   если под иксами запустить терминал, в нем su, а затем сабж, то сабж
> >   ругается что не может открыть дисплей
> >
> >   Это нормальная ситуация?
>
>
> Не совсем.
>
>
> >   Если да - как обойти?
>
> >   Если нет - как побороть?
>
>В общем пока в Debian это обходят и борятся, в других

> дистрибутивах типа Mandrake и RH уже давно
> существует модуль PAM, который позволяет
> авторизовать пользователя на root'а в Иксах.

Я не знаю зачем для этого разводить всякие модули и программы,
когда это решается одной единственной строчкой в рутовом .bashrc.

export XAUTHORITY=`eval echo ~$USER/.Xauthority`
После этого под su все работает. См также скрипт xsu у меня на домашней
страничке.

А вообще я считаю это design-flaw в графических конфигурационных
тулзах. Они должны всю свою работу делать от юзера, а повышенных
прав простить только когда надо сохранить результаты.
В debian с его многочисленными и юзабельными update-* и apt*
это было бы крайне легко сделать.

Проблема в том что gnome-apt написан людьми, привыкшими програмировать
под gtk.

-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: gnome-apt

2002-01-29 Пенетрантность Ilya Anfimov

On Tue, Jan 29, 2002 at 03:43:54PM +0500, dim wrote:
> Привет, debian-russian!
> 
>   когда запускаю сабж, стартанув иксы рутом - все в норме
>   при старте обычным юзером сабж осыпается за нехваткой пермишенов
>   если под иксами запустить терминал, в нем su, а затем сабж, то сабж
>   ругается что не может открыть дисплей

 Если  хочешь  адекватной  помощи  --  приводи логи. В связи с 70
годами научного атеизма вообще и наездами аятолла vsl в частности
телепатические способности отвечающих существенно ограничены.  

>   Это нормальная ситуация?
 
 Стандартная.
>   
>   Если да - как обойти?

 Перед su сказать export XAUTHORITY=~/.Xauthority
 Можно  в  ~/.xsession  вставить
что-то вроде (синтаксис не проверял):

 if [ x"$XAUTHORITY" = x ] ; then
XAUTHORITY="$HOME"/.Xauthority
export XAUTHORITY
 fi

 Возможно, что даже имеет смысл включить подобный кусок
в ~/.bashrc, не знаю.

>   Если нет - как побороть?
> -- 
> Всего интересного!
>  dim  mailto:[EMAIL PROTECTED]
> 
> 
> _
> Do You Yahoo!?
> Get your free @yahoo.com address at http://mail.yahoo.com
> 
> 
> 
> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: gnome-apt

2002-01-29 Пенетрантность Ilya Anfimov

On Tue, Jan 29, 2002 at 02:06:16PM +0300, Victor Wagner wrote:
> On Tue, 29 Jan 2002, Viktor Vislobokov wrote:
> 
> > >   если под иксами запустить терминал, в нем su, а затем сабж, то сабж
> > >   ругается что не может открыть дисплей
> > >
> > >   Это нормальная ситуация?
> >
> >
> > Не совсем.
> >
> >
> > >   Если да - как обойти?
> >
> > >   Если нет - как побороть?
> >
> >В общем пока в Debian это обходят и борятся, в других
> 
> 
> > дистрибутивах типа Mandrake и RH уже давно
> > существует модуль PAM, который позволяет
> > авторизовать пользователя на root'а в Иксах.
> 
> Я не знаю зачем для этого разводить всякие модули и программы,
> когда это решается одной единственной строчкой в рутовом .bashrc.
> 
> export XAUTHORITY=`eval echo ~$USER/.Xauthority`
> После этого под su все работает. См также скрипт xsu у меня на домашней
> страничке.

 Warning: после этого накроется очень инетересным образом X11 forwarding
через ssh, когда заходишь на этот debian.

 А насчет `eval echo ~$USER/.Xauthority` мне понравилось :-).


> 
> А вообще я считаю это design-flaw в графических конфигурационных
> тулзах. Они должны всю свою работу делать от юзера, а повышенных
> прав простить только когда надо сохранить результаты.
> В debian с его многочисленными и юзабельными update-* и apt*
> это было бы крайне легко сделать.
> 
> Проблема в том что gnome-apt написан людьми, привыкшими програмировать
> под gtk.
> 
> -- 
> Victor Wagner [EMAIL PROTECTED]
> Chief Technical Officer   Office:7-(095)-748-53-88
> Communiware.Net   Home: 7-(095)-135-46-61
> http://www.communiware.net  http://www.ice.ru/~vitus
> 
> 
> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: gnome-apt

On Tue, 29 Jan 2002, Ilya Anfimov wrote:

> >
> > export XAUTHORITY=`eval echo ~$USER/.Xauthority`
> > После этого под su все работает. См также скрипт xsu у меня на домашней
> > страничке.
>
>  Warning: после этого накроется очень инетересным образом X11 forwarding
> через ssh, когда заходишь на этот debian.

Ну да. Может. Свежие openssh XAUTHORITY в странном месте держат.
Но уж по ssh X forwarding рутовые конфигурационные тулзы точно пущать не
надо. Впрочем, сейчас зашел по ssh на соседнюю машину - все равно
все в $HOME/.Xauthority.

Опять же проверка на непустоту переменной XAUTHORITY cпасает.

>

-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: gnome-apt

> On Tue, 29 Jan 2002 15:47:44 +0500
> "DPetrenko" == DPetrenko  <[EMAIL PROTECTED]> wrote:
DPetrenko> 
DPetrenko> да нормальная
DPetrenko> прописать в терминале export DISPLAY=:<номер дисплея>

а также man xhost или man xauth. То, что gnome-apt, идея
попользоваться которым мало у кого возникает, не запускается не от
root'а, конечно, правильно, это все-таки утилита для системного
администратора.

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: gnome-apt


Но уж по ssh X forwarding рутовые конфигурационные тулзы точно пущать не
надо. 



  Интересно почему?

Виктор

squid+sag=отчет

2002-01-29 Пенетрантность Evgenii Yurkin

Добрый день всезнающий all
никто не подскажет случаем что можно поставить на squid для получение
статистики..
sarg конечно хорошо но в нем нет резултирования данных за период времени
нужно смотреть отчеты по дням по машинам (это sarg умеет)
и за месяц в такой же форме 
может кто сталкивался с таким?

Евгений Юркин
P.S.
Подскажите как в woody правильно keymap и т.д. ставится а то у меня какие
то
крокозяблики лезут
LANG=ru_RU.KOI-8-R

Re: gnome-apt

On Tue, 29 Jan 2002, Viktor Vislobokov wrote:

> From: Viktor Vislobokov <[EMAIL PROTECTED]>
> Subject: Re: gnome-apt
>
> > Но уж по ssh X forwarding рутовые конфигурационные тулзы точно пущать не
> > надо.
>
>
>Интересно почему?

Потому что слишком много мест, где что-то может сломаться.




-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: gnome-apt


>>>Но уж по ssh X forwarding рутовые
>>> конфигурационные тулзы
>>>точно пущать не надо.


>>  Интересно почему?


>Потому что слишком много мест, где что-то >может сломаться.


  Помоему гораздо больше вероятности
сломаться там где используются обходные
пути, чем там где используется нормальные
системные инструменты - в частности PAM

Виктор

squid + sarg

2002-01-29 Пенетрантность Evgenii Yurkin

Добрый день всезнающий all
никто не подскажет случаем что можно поставить на squid для получение
статистики..
sarg конечно хорошо но в нем нет резултирования данных за период времени
нужно смотреть отчеты по дням по машинам (это sarg умеет)
и за месяц в такой же форме
может кто сталкивался с таким?

Евгений Юркин

ssh

2002-01-29 Пенетрантность Roman Kovalenko

Раз уж зашел разговор про ssh, то хотелось бы получить совет от знающих людей:
что лучше всего использовать для реализации доступа к серверу из любой точки 
мира?
хочется удаленно администрить компьютер, но как-то боязно открывать ssh в инет 
и работать с root-овыми правами.
какое ПО на данный момент наименее дырявое, и если ставить ssh/ssh2, то какую 
именно реализацию этого протокола?

Спасибо.

Re: gnome-apt

Помоему гораздо больше вероятности
сломаться там где используются обходные
пути, чем там где используется нормальные
системные инструменты - в частности PAM

Использование стандартных X-овых средств авторизации является
гораздо более нормальным и стандартным чем использование PAM.
Этому паму лет отроду без году неделя - всего лет пять. А xauth - 15.

При чем здесь это?
Ты своим xauth можешь root'овые права получить?
Нет!
PAM и Xauth даже сравнивать глупо ибо цели их
создания абсолютно разные.

Теперь, что является целью первоначального
вопроса? Запустить админовую программу с
root'овыми правами.
Тот механизм, который я описал является
интуитивно-понятным, легким и не требующим
от пользователя ничего лишнего.
Когда мне доказывают что xauth лучше на том
основании, что где-то может чего-то сломаться
- это схоластика. Реальные примеры поломок
есть?

Виктор

Re: ssh

2002-01-29 Пенетрантность Alexei Khlebnikov

> On Tue, 29 Jan 2002 15:37:37 +0300
> "Roman" == Roman Kovalenko <[EMAIL PROTECTED]> wrote:
Roman> 
Roman> Раз уж зашел разговор про ssh, то хотелось бы получить совет от
Roman> знающих людей: что лучше всего использовать для реализации
Roman> доступа к серверу из любой точки мира?  хочется удаленно
Roman> администрить компьютер, но как-то боязно открывать ssh в инет и
Roman> работать с root-овыми правами.

Кому-то удалось сломать ssh?

Roman>  какое ПО на данный момент
Roman> наименее дырявое, и если ставить ssh/ssh2, то какую именно
Roman> реализацию этого протокола?

OpenSSH v2, вероятно.

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ssh

On Tue, 29 Jan 2002 15:59:52 +0300
Alexander Kotelnikov <[EMAIL PROTECTED]> wrote:

>> On Tue, 29 Jan 2002 15:37:37 +0300
>> "Roman" == Roman Kovalenko <[EMAIL PROTECTED]> wrote:
Roman>> 
Roman>> Раз уж зашел разговор про ssh, то хотелось бы получить совет от
Roman>> знающих людей: что лучше всего использовать для реализации
Roman>> доступа к серверу из любой точки мира?  хочется удаленно
Roman>> администрить компьютер, но как-то боязно открывать ssh в инет и
Roman>> работать с root-овыми правами.

AK> Кому-то удалось сломать ssh?

ssh1 ломается с помощью man-in-the-middle. Вроде как dsniff умеет. В ssh2 от 
этого сделали какую-то защиту, как - не представляю. Может кто расскажет?

Re: ssh


Roman> Раз уж зашел разговор про ssh, то хотелось бы получить совет от
Roman> знающих людей: что лучше всего использовать для реализации
Roman> доступа к серверу из любой точки мира?  хочется удаленно
Roman> администрить компьютер, но как-то боязно открывать ssh в инет и
Roman> работать с root-овыми правами.

Кому-то удалось сломать ssh?



   И даже не раз. Переполнение буфера и там
встречается.


Roman>  какое ПО на данный момент
Roman> наименее дырявое, и если ставить ssh/ssh2, то какую именно
Roman> реализацию этого протокола?

OpenSSH v2, вероятно.



   Последний из stable

Виктор

Re: gnome-apt

On Tue, 29 Jan 2002, Viktor Vislobokov wrote:

> > Использование стандартных X-овых средств авторизации является
> > гораздо более нормальным и стандартным чем использование PAM.
> > Этому паму лет отроду без году неделя - всего лет пять. А xauth - 15.
>
>
> При чем здесь это?

Притом, что последнее время резко упало качество open_source кода.
В связи с большим притоком в эту область неквалифицированных
программистов.

> Ты своим xauth можешь root'овые права получить?
> Нет!

И слава богу!

> PAM и Xauth даже сравнивать глупо ибо цели их
> создания абсолютно разные.

Для получения рутовых прав можно использовать стандартные и проверенные
механизмы - su, sudo (в нем, конечно, тоже дырки бывают), super и
suid-бит на программе.

> Теперь, что является целью первоначального
> вопроса? Запустить админовую программу с
> root'овыми правами.

Запустить X-овую  программу с рутовыми правами на десктопе, принадлежащем
не-руту. Хитрость здесь в том, что X-ы - протокол сетевой, а в сети
root с какой-то определенной машины не облает никакими
дополнительными правами.

Предложенное решение с xauth позволяет руту, пользуясь правами на
локальную файловую систему, получить авторизацию на дисплей пользователя.

Чего тут интуитивно-непонятного?

>  Тот механизм, который я описал является
> интуитивно-понятным, легким и не требующим
> от пользователя ничего лишнего.

И этот механизм ничего лишнего не требует не только от пользователя,
но и от администратора. В частности, установки непроверенного кода,
который в debian stable еще не попал.

-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ssh

2002-01-29 Пенетрантность Roman Kovalenko

On Tue, 29 Jan 2002 15:59:52 +0300
Alexander Kotelnikov <[EMAIL PROTECTED]> wrote:

> Кому-то удалось сломать ssh?

и уже достаточно давно :(

> Roman>  какое ПО на данный момент
> Roman> наименее дырявое, и если ставить ssh/ssh2, то какую именно
> Roman> реализацию этого протокола?
> OpenSSH v2, вероятно.

а для potato бинарник в deb'е есть или только из исходников собирать?

Re: ssh

2002-01-29 Пенетрантность Vladimir N.Velychko

On Tue, 29 Jan 2002, Roman Kovalenko wrote:

> > Roman>  какое ПО на данный момент
> > Roman> наименее дырявое, и если ставить ssh/ssh2, то какую именно
> > Roman> реализацию этого протокола?
> > OpenSSH v2, вероятно.
>
> а для potato бинарник в deb'е есть или только из исходников собирать?

У меня на ftp.ice.ru посмотри.
-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ssh

On Tue, 29 Jan 2002 15:59:52 +0300
Alexander Kotelnikov <[EMAIL PROTECTED]> wrote:

> Кому-то удалось сломать ssh?
Что-то тут Вы, Саша лопухнулись, не смотря на
весь Ваш опломб. ;=>

--
 VEL-RIPE
 ICQ UIN# 3159256

Re: ssh

2002-01-29 Пенетрантность Iouri Nefedov

On Tue, 29 Jan 2002, Vladimir N.Velychko wrote:

> On Tue, 29 Jan 2002 15:59:52 +0300
> Alexander Kotelnikov <[EMAIL PROTECTED]> wrote:
> 
> > Кому-то удалось сломать ssh?
> Что-то тут Вы, Саша лопухнулись, не смотря на
> весь Ваш опломб. ;=>
> 

 А по моему лопухнулся кто то еще ;) 
 Ну да, пользуясь ssh, можно получить rootовые права,
 а вот порушить чужую сессию ssh, о чем собственно первоначально
 и шла речь, нельзя. 
 Так же я не слышал и о взломе (расшифровке) трафика.
 Поправьте если ошибаюсь...

 Удачи.
 Юра.

Re: ssh

2002-01-29 Пенетрантность Alexei Khlebnikov

On Tue, 29 Jan 2002 18:44:32 +0100 (CET)
Iouri Nefedov <[EMAIL PROTECTED]> wrote:

IN> Так же я не слышал и о взломе (расшифровке) трафика.
IN> Поправьте если ошибаюсь...

Траффик расшифровывается атакой типа man-in-the-middle. Происходит это так.
Атакующий находится на роутере между 2 машинами, которые соединяются. При 
соединении
он в него вклинивается, т.е. представляется серверу как клиент, а клиенту - как
сервер. ip-заголовки там в пакетах меняет. Генерит по фальшивому открытому ключу
для клиента и для сервера. И сечет траффик, расшифровывая транзит и зашифровывая
его вновь для другой стороны.

Защититься можно, если заранее сгенерить ключи для шифрования и пользоваться 
ими для
идентефикации друг друга.

А в ssh2 как-то хитро придумали, чтобы даже без предварительного генерения 
ключей
все обделать. Как - непонятно.

Server backup

2002-01-29 Пенетрантность Ingvarr Zhmakin

Здравствуйте.

Есть сервер -- почта (в т.ч. и хранимая на сервере), пользовательский шит
гига на один-два, ну и бесценные настройки.

Хочется это по-умному бекапить.

Чем бы копать?

-- 
 Ingvarr.

Re: Server backup

2002-01-29 Пенетрантность Victor B. Wagner

On Tue, 29 Jan 2002, Ingvarr Zhmakin wrote:

> Здравствуйте.
>
> Есть сервер -- почта (в т.ч. и хранимая на сервере), пользовательский шит
> гига на один-два, ну и бесценные настройки.
>
> Хочется это по-умному бекапить.
>
> Чем бы копать?

DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.

А чем - по вкусу, можно tar, можно cpio, можно dump/restore
Лично я предпочитаю последнее, из-за наличия у restore удобного
интерактивного режима для восстановления отдельных файликов.

Re: ssh

2002-01-29 Пенетрантность Wartan Hachaturow

On Tue, Jan 29, 2002 at 07:02:15PM +0200, Vladimir N.Velychko wrote:

> > ÐÐ¾Ð¼Ñ-ÑÐ¾ ÑÐ´Ð°Ð»Ð¾ÑÑ ÑÐ»Ð¾Ð¼Ð°ÑÑ ssh?
> Ð§ÑÐ¾-ÑÐ¾ ÑÑÑ ÐÑ, Ð¡Ð°ÑÐ° Ð»Ð¾Ð¿ÑÑÐ½ÑÐ»Ð¸ÑÑ, Ð½Ðµ ÑÐ¼Ð¾ÑÑÑ Ð½Ð°
> Ð²ÐµÑÑ ÐÐ°Ñ Ð¾Ð¿Ð»Ð¾Ð¼Ð±. ;=>

ÐÐ°ÑÐ°Ð½ÐµÐµ Ð¿ÑÐ¾ÑÑ Ð¿ÑÐ¾ÑÐµÐ½Ð¸Ñ Ñ Ð²ÑÐµÑ, Ð½Ð¾ Ñ Ð½Ðµ ÑÐ¼Ð¾Ð³ ÑÐ´ÐµÑÐ¶Ð°ÑÑÑÑ.

"_a_Ð¿Ð»Ð¾Ð¼Ð±".

P.S. man-in-the-middle -- ÑÑÐ¾ Ð½Ðµ Ð²Ð·Ð»Ð¾Ð¼ Ð² Ð¾Ð±ÑÐµÐ¿ÑÐ¸Ð½ÑÑÐ¾Ð¼ ÑÐ¼ÑÑÐ»Ðµ. ÐÑÐ¾ design
flaw Ð² ÐºÐ¾ÑÐµÐ¿ÑÐ¸Ð¸, Ð¿Ð¾ÑÐ²Ð¸Ð²ÑÐ¸Ð¹ÑÑ Ð²ÑÐ»ÐµÐ´ÑÑÐ²Ð¸Ð¸ ÑÐ´Ð¾Ð²Ð»ÐµÑÐ²Ð¾ÑÐµÐ½Ð¸Ñ Ð»ÐµÐ½Ð¸
Ð¿Ð¾Ð»ÑÐ·Ð¾Ð²Ð°ÑÐµÐ»ÐµÐ¹. ÐÑÐ»Ð¸ Ð±Ñ Ð²ÑÐµ Ð»ÑÐ´Ð¸ (ÐºÐ°Ðº Ð¸ ÑÐ»ÐµÐ´ÑÐµÑ Ð´ÐµÐ»Ð°ÑÑ) Ð¾Ð±Ð¼ÐµÐ½Ð¸Ð²Ð°Ð»Ð¸ÑÑ
ÐºÐ»ÑÑÐ°Ð¼Ð¸ Ð½Ðµ Ð¿Ð¾ ÑÐµÑÐ¸, Ð° Ð½Ð° Ð´Ð¸ÑÐºÐµÑÐºÐ°Ñ, Ð¿Ð¾Ð´Ð¾Ð±Ð½Ð°Ñ Ð°ÑÐ°ÐºÐ° Ð±ÑÐ»Ð° Ð±Ñ Ð½ÐµÐ²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð°.

-- 
Regards, Wartan.
echo "Your stdio isn't very std." 
-- Larry Wall in Configure from the perl distribution

Re: ssh

2002-01-29 Пенетрантность Vladimir N.Velychko

On Tue, 29 Jan 2002 23:37:30 +0300
Wartan Hachaturow <[EMAIL PROTECTED]> wrote:

> On Tue, Jan 29, 2002 at 07:02:15PM +0200, Vladimir N.Velychko wrote:
> 
> > > ÐÐ¾Ð¼Ñ-ÑÐ¾ ÑÐ´Ð°Ð»Ð¾ÑÑ ÑÐ»Ð¾Ð¼Ð°ÑÑ ssh?
> > Ð§ÑÐ¾-ÑÐ¾ ÑÑÑ ÐÑ, Ð¡Ð°ÑÐ° Ð»Ð¾Ð¿ÑÑÐ½ÑÐ»Ð¸ÑÑ, Ð½Ðµ ÑÐ¼Ð¾ÑÑÑ Ð½Ð°
> > Ð²ÐµÑÑ ÐÐ°Ñ Ð¾Ð¿Ð»Ð¾Ð¼Ð±. ;=>
> 
> ÐÐ°ÑÐ°Ð½ÐµÐµ Ð¿ÑÐ¾ÑÑ Ð¿ÑÐ¾ÑÐµÐ½Ð¸Ñ Ñ Ð²ÑÐµÑ, Ð½Ð¾ Ñ Ð½Ðµ ÑÐ¼Ð¾Ð³ ÑÐ´ÐµÑÐ¶Ð°ÑÑÑÑ.
>   
>   "_a_Ð¿Ð»Ð¾Ð¼Ð±".
Ð¡Ð¿Ð°ÑÐ¸Ð±Ð¾. :)) Ð¯ Ð²ÑÑ ÐµÑÑ Ð½Ðµ Ð¾Ð±Ð·Ð°Ð²ÑÐ»ÑÑ ÑÐ¿ÑÐ»ÑÐµÐºÐµÑÐ¾Ð¼.

> P.S. man-in-the-middle -- ÑÑÐ¾ Ð½Ðµ Ð²Ð·Ð»Ð¾Ð¼ Ð² Ð¾Ð±ÑÐµÐ¿ÑÐ¸Ð½ÑÑÐ¾Ð¼ ÑÐ¼ÑÑÐ»Ðµ. ÐÑÐ¾ design
> flaw Ð² ÐºÐ¾ÑÐµÐ¿ÑÐ¸Ð¸, Ð¿Ð¾ÑÐ²Ð¸Ð²ÑÐ¸Ð¹ÑÑ Ð²ÑÐ»ÐµÐ´ÑÑÐ²Ð¸Ð¸ ÑÐ´Ð¾Ð²Ð»ÐµÑÐ²Ð¾ÑÐµÐ½Ð¸Ñ Ð»ÐµÐ½Ð¸
> Ð¿Ð¾Ð»ÑÐ·Ð¾Ð²Ð°ÑÐµÐ»ÐµÐ¹. ÐÑÐ»Ð¸ Ð±Ñ Ð²ÑÐµ Ð»ÑÐ´Ð¸ (ÐºÐ°Ðº Ð¸ ÑÐ»ÐµÐ´ÑÐµÑ Ð´ÐµÐ»Ð°ÑÑ) Ð¾Ð±Ð¼ÐµÐ½Ð¸Ð²Ð°Ð»Ð¸ÑÑ
> ÐºÐ»ÑÑÐ°Ð¼Ð¸ Ð½Ðµ Ð¿Ð¾ ÑÐµÑÐ¸, Ð° Ð½Ð° Ð´Ð¸ÑÐºÐµÑÐºÐ°Ñ, Ð¿Ð¾Ð´Ð¾Ð±Ð½Ð°Ñ Ð°ÑÐ°ÐºÐ° Ð±ÑÐ»Ð° Ð±Ñ Ð½ÐµÐ²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð°.
Security, ÐºÐ°Ðº Ð¸ Ð¸ÑÑÐ¾ÑÐ¸Ñ, Ð½Ðµ ÑÐµÑÐ¿Ð¸Ñ ÑÐ¾ÑÐ»Ð°Ð³Ð°ÑÐµÐ»ÑÐ½Ð¾Ð³Ð¾ (ÑÑÑ Ñ ÑÐ¾ÑÑ Ð½Ðµ Ð¾ÑÐ¸Ð±ÑÑ? (=8)
Ð½Ð°ÐºÐ»Ð¾Ð½ÐµÐ½Ð¸Ñ. ÐÐ° Ð¸ Ð²Ð¾Ð¿ÑÐ¾Ñ Ð·Ð²ÑÑÐ°Ð» Ð² Ð¿ÑÐ¸ÐºÐ»Ð°Ð´Ð½Ð¾Ð¹ Ð¿Ð»Ð¾ÑÐºÐ¾ÑÑÐ¸ (Ð´Ð»Ñ Ð¼ÐµÐ½Ñ).
Ð¤Ð°ÐºÑÑ Ð¿ÑÐ¾Ð½Ð¸ÐºÐ½Ð¾Ð²ÐµÐ½Ð¸Ñ Ð² unux-ÑÐ¸ÑÑÐµÐ¼Ñ ÑÐµÑÐµÐ· Ð´ÑÑÑ Ð² ssh Ð¸Ð¼ÐµÐ»Ð¸ Ð¼ÐµÑÑÐ¾
(Ð½Ðµ Ð¼Ð¾Ð¸, ÑÑÑÑ-ÑÑÑÑ-ÑÑÑÑ (=|), ÑÑÐ¾ Ð²Ð¿Ð¾Ð»Ð½Ðµ Ð¿Ð¾Ð´ÑÐ¾Ð´Ð¸Ñ Ð¿Ð¾Ð´ ÑÐ¾ÑÐ¼ÑÐ»Ð¸ÑÐ¾Ð²ÐºÑ
"ÑÐ»Ð¾Ð¼Ð°ÑÑ ssh" (Ð½Ð° ÑÑÐµÐ¹ Ð»Ð¸Ð±Ð¾ ÑÐ¸ÑÑÐµÐ¼Ðµ).

PS: Ð¿ÑÐ¾ÑÑ Ð¿ÑÐ¾ÑÐµÐ½Ð¸Ñ Ð·Ð° Ð½ÐµÐºÐ¾ÑÐ¾ÑÑÑ, Ð¿Ð¾ÑÐ¾Ð¹ Ð¿ÑÐ¾ÑÐºÐ°ÐºÐ¸Ð²Ð°ÑÑÑÑ ÐºÐ¾Ð»ÑÑÐµÑÑÑ, Ð½Ð¾
Ð½Ðµ Ð±ÐµÐ»ÑÐ¹ Ñ Ð¸ Ð½Ðµ Ð¿ÑÑÐ¸ÑÑÑÐ¹ ;=>
--
 VEL-RIPE
 ICQ UIN# 3159256

Re: ssh

> On Tue, 29 Jan 2002 19:02:15 +0200
> "Vladimir" == Vladimir N Velychko <[EMAIL PROTECTED]> wrote:
Vladimir> 
Vladimir> On Tue, 29 Jan 2002 15:59:52 +0300
Vladimir> Alexander Kotelnikov <[EMAIL PROTECTED]> wrote:
Vladimir> 
>> ÐÐ¾Ð¼Ñ-ÑÐ¾ ÑÐ´Ð°Ð»Ð¾ÑÑ ÑÐ»Ð¾Ð¼Ð°ÑÑ ssh?
Vladimir> Ð§ÑÐ¾-ÑÐ¾ ÑÑÑ ÐÑ, Ð¡Ð°ÑÐ° Ð»Ð¾Ð¿ÑÑÐ½ÑÐ»Ð¸ÑÑ, Ð½Ðµ ÑÐ¼Ð¾ÑÑÑ Ð½Ð°
Vladimir> Ð²ÐµÑÑ ÐÐ°Ñ Ð¾Ð¿Ð»Ð¾Ð¼Ð±. ;=>

Ð¡ÑÑÐ°Ð½Ð½ÑÐ¹ Ð¾ÑÐ²ÐµÑ Ð½Ð° Ð²Ð¾Ð¿ÑÐ¾Ñ. ÐÐ¾Ð½ÐµÑÐ½Ð¾, Ð²ÐµÐ·Ð´Ðµ Ð¼Ð¾Ð³ÑÑ Ð±ÑÑÑ Ð´ÑÑÐºÐ¸ (Ð½Ð° ÑÑÐ¾Ð²Ð½Ðµ
ÑÐµÐ°Ð»Ð¸Ð·Ð°ÑÐ¸Ð¸), Ð½Ð¾ _ÑÐµÐ¾ÑÐµÑÐ¸ÑÐµÑÐºÐ¸_ ssh 1 Ð¸ 2 Ð²ÐµÑÐ¸ Ð½Ð°Ð´ÐµÐ¶Ð½ÑÐµ.

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ssh

> On Tue, 29 Jan 2002 20:02:23 +0200
> "Alexei" == Alexei Khlebnikov <[EMAIL PROTECTED]> wrote:
Alexei> 
Alexei> Защититься можно, если заранее сгенерить ключи для шифрования
Alexei> и пользоваться ими для идентефикации друг друга.

Мне плохо... что есть еще люди самозобвенно печатающие "yes" не глядя
на бумажку с fingerprint'ом host'а?

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ssh



 Ð Ð¿Ð¾ Ð¼Ð¾ÐµÐ¼Ñ Ð»Ð¾Ð¿ÑÑÐ½ÑÐ»ÑÑ ÐºÑÐ¾ ÑÐ¾ ÐµÑÐµ ;) 
 ÐÑ Ð´Ð°, Ð¿Ð¾Ð»ÑÐ·ÑÑÑÑ ssh, Ð¼Ð¾Ð¶Ð½Ð¾ Ð¿Ð¾Ð»ÑÑÐ¸ÑÑ rootÐ¾Ð²ÑÐµ Ð¿ÑÐ°Ð²Ð°,

 Ð° Ð²Ð¾Ñ Ð¿Ð¾ÑÑÑÐ¸ÑÑ ÑÑÐ¶ÑÑ ÑÐµÑÑÐ¸Ñ ssh, Ð¾ ÑÐµÐ¼ ÑÐ¾Ð±ÑÑÐ²ÐµÐ½Ð½Ð¾ Ð¿ÐµÑÐ²Ð¾Ð½Ð°ÑÐ°Ð»ÑÐ½Ð¾
 Ð¸ ÑÐ»Ð° ÑÐµÑÑ, Ð½ÐµÐ»ÑÐ·Ñ. 
 Ð¢Ð°Ðº Ð¶Ðµ Ñ Ð½Ðµ ÑÐ»ÑÑÐ°Ð» Ð¸ Ð¾ Ð²Ð·Ð»Ð¾Ð¼Ðµ (ÑÐ°ÑÑÐ¸ÑÑÐ¾Ð²ÐºÐµ) ÑÑÐ°ÑÐ¸ÐºÐ°.

 ÐÐ¾Ð¿ÑÐ°Ð²ÑÑÐµ ÐµÑÐ»Ð¸ Ð¾ÑÐ¸Ð±Ð°ÑÑÑ...



   ÐÑ ;)
   Ð¯ Ð²ÑÐµÐ³Ð´Ð° ÑÑÐ¸ÑÐ°Ð», ÑÑÐ¾ Ð¿Ð¾Ð»ÑÑÐ¸ÑÑ root'Ð¾Ð²ÑÐµ Ð¿ÑÐ°Ð²Ð°
- ÑÑÐ¾ Ð¸ ÐµÑÑÑ ÑÐ»Ð¾Ð¼Ð°ÑÑ!

   ÐÐ°ÑÐµÐ¼ Ð¼Ð½Ðµ Ð²ÑÐµ Ð¾ÑÑÐ°Ð»ÑÐ½Ð¾Ðµ, ÐµÑÐ»Ð¸ Ñ Ð¼ÐµÐ½Ñ ÐµÑÑÑ
root'Ð¾Ð²ÑÐµ Ð¿ÑÐ°Ð²Ð° Ð½Ð° Ð¼Ð°ÑÐ¸Ð½Ðµ? Ð¯ Ð¸ ÑÑÐ¶ÑÑ ÑÐµÑÑÐ¸Ñ
Ð¾ÑÑÑÐµÐ»Ð¸ÑÑ Ð¼Ð¾Ð³Ñ Ð¸ Ð²ÑÐµ Ð¾ÑÑÐ°Ð»ÑÐ½Ð¾Ðµ ÑÐ´ÐµÐ»Ð°ÑÑ ;)

ÐÐ¸ÐºÑÐ¾Ñ

Re: ssh


P.S. man-in-the-middle -- ÑÑÐ¾ Ð½Ðµ Ð²Ð·Ð»Ð¾Ð¼ Ð² Ð¾Ð±ÑÐµÐ¿ÑÐ¸Ð½ÑÑÐ¾Ð¼ ÑÐ¼ÑÑÐ»Ðµ. ÐÑÐ¾ design
flaw Ð² ÐºÐ¾ÑÐµÐ¿ÑÐ¸Ð¸, Ð¿Ð¾ÑÐ²Ð¸Ð²ÑÐ¸Ð¹ÑÑ Ð²ÑÐ»ÐµÐ´ÑÑÐ²Ð¸Ð¸ ÑÐ´Ð¾Ð²Ð»ÐµÑÐ²Ð¾ÑÐµÐ½Ð¸Ñ Ð»ÐµÐ½Ð¸
Ð¿Ð¾Ð»ÑÐ·Ð¾Ð²Ð°ÑÐµÐ»ÐµÐ¹. ÐÑÐ»Ð¸ Ð±Ñ Ð²ÑÐµ Ð»ÑÐ´Ð¸ (ÐºÐ°Ðº Ð¸ ÑÐ»ÐµÐ´ÑÐµÑ Ð´ÐµÐ»Ð°ÑÑ) Ð¾Ð±Ð¼ÐµÐ½Ð¸Ð²Ð°Ð»Ð¸ÑÑ
ÐºÐ»ÑÑÐ°Ð¼Ð¸ Ð½Ðµ Ð¿Ð¾ ÑÐµÑÐ¸, Ð° Ð½Ð° Ð´Ð¸ÑÐºÐµÑÐºÐ°Ñ, Ð¿Ð¾Ð´Ð¾Ð±Ð½Ð°Ñ Ð°ÑÐ°ÐºÐ° Ð±ÑÐ»Ð° Ð±Ñ Ð½ÐµÐ²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð°.



   ÐÐ¾Ð¶Ð½Ð¾ Ð¾Ð±Ð¼ÐµÐ½Ð¸Ð²Ð°ÑÑÑÑ Ð¸ Ð¿Ð¾ ÑÐµÑÐ¸, Ð½Ð¾ Ð²
Ð·Ð°ÑÐ¸ÑÑÐ¾Ð²Ð°Ð½Ð½Ð¾Ð¼ Ð²Ð¸Ð´Ðµ - ÑÐµÐ¼ Ð¶Ðµ PGP. Ð ÐºÐ»ÑÑÐ¸
Ð±ÑÐ°ÑÑ Ñ PGP ÑÐµÑÐ²ÐµÑÐ¾Ð² Ð¸Ð»Ð¸ Ð¸Ð· Ð´ÑÑÐ³Ð¸Ñ
Ð´Ð¾Ð²ÐµÑÐ¸ÑÐµÐ»ÑÐ½ÑÑ Ð¼ÐµÑÑ.

ÐÐ¸ÐºÑÐ¾Ñ

Re: gnome-apt