Administrace komentářů

konecne som si nasiel cas precitat nejake tie prispevky .. uz si na teba spominam, hlavne na tvoju tvrdohlavost.. nie moc casto prispievam do diskusii v abclinuxu, ale s tebou som uz mal vymenu nazorov a nejake ine som si pozrel..
ono v podstate s tebou suhlasim:

• login je vo vela pripadoch casto lahko uhadnutelny a nie je to tajny udaj - svoj effort by som mal presmerovat na zlozitejsie heslo a nie login - tym padom je jedno ci je to uzivatel mato alebo root
• skryvanie ssh na iny port prakticky nezmysel - zistitelne prakticky okamzite

ano, ale ak si vsimnes v mojom prispevku, som hovoril ze proti komu maju take (podla tvojho nazoru zabezpecenie z nevedomosti, by rumor) opatrenia vyznam ..
presmerovanie ssh na iny port moze byt dobra vec, ak napriklad na ssh:22 bezi sshd, ktore je chroot-nute len napriklad pre uzivatelov COMPANY v /home/COMPANY , ssh > 1024 bezi sshd klasicky ..
tak isto, ako si spominal, zabezpecit bud dostatocne silne heslo alebo prihlasovanie len pomocou klucov .. lenze i tu treba davat pozor, lebo privatny kluc (v tom lepsom pripade) je tiez chraneny len heslom .. takze sa kludne moze stat, ze zabezpecenie localnym heslom moze byt omnoho lepsie ako samotne prihlasovanie klucom, ked sa dokaze utocnik dostat ku klucom, ktore su zabeznecene primitivnym (pripade ziadnym) heslom (vynechavam teraz problematiku debility uzivatelov publikovania/posielania svojich privatnych klucov) ..

napriek tomu tvrdim, ze nechat root uzivatela povoleneho na ssh nie je dobra volba .. ano, root moze byt zabezpeceny velmi silnym heslom, firewall moze povolovat len urcity burst packatov na ssh ale i tak .. ked nemusim, nepovolujem .. (tak isto ako nebudem trubit do sveta, ake mam logins na serveri)
cely moj prispevok (a vlastne odpoved na hlavnu otazku v tomto vlakne) zhrniem:

-o povolenie jedinej IPcky na ssh:  firewall/tcp wrappers (pripadne oboje)
-o root nepovolovat, kym nie je treba: malokedy uzivatel potrebuje vsetky prava,ako ma root
-o prihlasovanie pomocou klucov, pripadne silne lokalne heslo ( existuju programy/nastavenia, ktore kontroluju silu hesiel uzivatelov)

.. a suhlasim s tebou, robit 'bezpecnostne opatrenia' len preto, ze som to niekde pocul, nema zmysel .. otazne je, do akej hlbky clovek chape, ako veci funguju a dokaze sa proti tomu branit .. ja napriklad neviem ako presne funguje sshd (neprogramoval som ho, jeho kody som nikdy nestudoval) a teda neviem, ake (potencionalne) slabe miesta ma .. ale to uz nepatri do tohto prispevku ..