forum.opennet.ru

Составление сообщения

Исходное сообщение

"Реализация чата на основе SSH. Предложения по расширению обл..."
Отправлено Аноним, 06-Янв-15 15:08

> Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых
> логинов по fingerprint или по другим признакам. Разница между данным решением
> и костылями через pam в том, что не придётся продумывать и
> реализовывать мегатонну деталей:
Те перцы написали кастомный сервер. Который умеет ровно то что умеет. Если ты хочешь юзануть обычный sshd - ты дорвешься до того что хомяки взломают твою систему через кучу неочевидных фич.
Лучший способ разобраться с проблемными фичами - это выпилить их нафиг. Или точнее, не реализовывать совсем. От ssh там только шифрование и протокол. А сервер и его логика кастомные. Он не умеет запускать программы. Он не умеет sftp. Он плевал на попытки форварда портов и прочие впн-ы. А вот обычный sshd - out of the box совсем не предназначен для отдачи его на растерзание недоверяемым внешним юзерам которые могут дергать его фичи. И если ты надеешься что сможешь его закостылить - я думаю что закончится это фееричным взломом серверной машины. Кернелорг подтверждает!
> 1. Сделать по изолированному контейнеру каждому пользователю
Это вообще зачем? Иначе недостаточно энтерпрайзно чтоли? Сделать кастомный сервер который умеет только то что нужно и ни битом больше. Иначе вам машину поадминят через тул сделанный для администрирования.
> _многих_ примеров) один пользователь может замусорить какой-нибудь IPC,
А зачем пользователю чЯтика возможность вообще что-то делать с IPC? Это сначала создать себе проблемы, а потом пытаться их героически замазать? Вы вроде компетентнее казались...
> 2. Запретить SFTP и прочую фигню.
Вы хотите использовать обычный sshd? Вон kernel.org уже использовали. Закончилось тем что их сломал. Автоматический червяк вообще.
> 4. Сделать screen с irssi шеллом по умолчанию
Зашибись - еще и решить за пользователя какой клиент ему должен быть удобен.
> 5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как
> chat-ом на данном сервере.
И заметить что в паре мест вышла лажа. Так что сервак тихой сапой ломанули.
В общем совершенно гнилая затея с поиском проблем на свой зад.

Исходное сообщение
"Реализация чата на основе SSH. Предложения по расширению обл..." Отправлено Аноним, 06-Янв-15 15:08
> Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых > логинов по fingerprint или по другим признакам. Разница между данным решением > и костылями через pam в том, что не придётся продумывать и > реализовывать мегатонну деталей: Те перцы написали кастомный сервер. Который умеет ровно то что умеет. Если ты хочешь юзануть обычный sshd - ты дорвешься до того что хомяки взломают твою систему через кучу неочевидных фич. Лучший способ разобраться с проблемными фичами - это выпилить их нафиг. Или точнее, не реализовывать совсем. От ssh там только шифрование и протокол. А сервер и его логика кастомные. Он не умеет запускать программы. Он не умеет sftp. Он плевал на попытки форварда портов и прочие впн-ы. А вот обычный sshd - out of the box совсем не предназначен для отдачи его на растерзание недоверяемым внешним юзерам которые могут дергать его фичи. И если ты надеешься что сможешь его закостылить - я думаю что закончится это фееричным взломом серверной машины. Кернелорг подтверждает! > 1. Сделать по изолированному контейнеру каждому пользователю Это вообще зачем? Иначе недостаточно энтерпрайзно чтоли? Сделать кастомный сервер который умеет только то что нужно и ни битом больше. Иначе вам машину поадминят через тул сделанный для администрирования. > _многих_ примеров) один пользователь может замусорить какой-нибудь IPC, А зачем пользователю чЯтика возможность вообще что-то делать с IPC? Это сначала создать себе проблемы, а потом пытаться их героически замазать? Вы вроде компетентнее казались... > 2. Запретить SFTP и прочую фигню. Вы хотите использовать обычный sshd? Вон kernel.org уже использовали. Закончилось тем что их сломал. Автоматический червяк вообще. > 4. Сделать screen с irssi шеллом по умолчанию Зашибись - еще и решить за пользователя какой клиент ему должен быть удобен. > 5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как > chat-ом на данном сервере. И заметить что в паре мест вышла лажа. Так что сервак тихой сапой ломанули. В общем совершенно гнилая затея с поиском проблем на свой зад.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых >> логинов по fingerprint или по другим признакам. Разница между данным решением >> и костылями через pam в том, что не придётся продумывать и >> реализовывать мегатонну деталей: > Те перцы написали кастомный сервер. Который умеет ровно то что умеет. Если > ты хочешь юзануть обычный sshd - ты дорвешься до того что > хомяки взломают твою систему через кучу неочевидных фич. > Лучший способ разобраться с проблемными фичами - это выпилить их нафиг. Или > точнее, не реализовывать совсем. От ssh там только шифрование и протокол. > А сервер и его логика кастомные. Он не умеет запускать программы. > Он не умеет sftp. Он плевал на попытки форварда портов и > прочие впн-ы. А вот обычный sshd - out of the box > совсем не предназначен для отдачи его на растерзание недоверяемым внешним юзерам > которые могут дергать его фичи. И если ты надеешься что сможешь > его закостылить - я думаю что закончится это фееричным взломом серверной > машины. Кернелорг подтверждает! >> 1. Сделать по изолированному контейнеру каждому пользователю > Это вообще зачем? Иначе недостаточно энтерпрайзно чтоли? Сделать кастомный сервер который > умеет только то что нужно и ни битом больше. Иначе вам > машину поадминят через тул сделанный для администрирования. >> _многих_ примеров) один пользователь может замусорить какой-нибудь IPC, > А зачем пользователю чЯтика возможность вообще что-то делать с IPC? Это сначала > создать себе проблемы, а потом пытаться их героически замазать? Вы вроде > компетентнее казались... >> 2. Запретить SFTP и прочую фигню. > Вы хотите использовать обычный sshd? Вон kernel.org уже использовали. Закончилось тем что > их сломал. Автоматический червяк вообще. >> 4. Сделать screen с irssi шеллом по умолчанию > Зашибись - еще и решить за пользователя какой клиент ему должен быть > удобен. >> 5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как >> chat-ом на данном сервере. > И заметить что в паре мест вышла лажа. Так что сервак тихой > сапой ломанули. > В общем совершенно гнилая затея с поиском проблем на свой зад.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру