Portál AbcLinuxu, 7. května 2025 22:12
Ahoj, dokoncuju konecne svuj kancelarsky server, kde pobezi na proxmoxu (debian) dalsi 3 linuxy a WIN. Dale pak jeste NAS server s ubuntu. Je tam tedy :
Budu se k tomu pripojovat z notebooku, z kanclu z desktopu a obcas z mobilu. Predpokladam, ze bych mel ucty :
Potrebuju poradit, jak zvolit uzivatelska jmena a hesla napric vsemi temi servery a desktopy, abych v tom nemel hokej a aby to bylo bezpecne. Jak to delate? ten proxmox je cisty debian a nepouziva sudo, ale root ucet. Mam tedy root ucty zablokovat a pouzivat misto nich VSUDE ucet "spravce" ? Jak to delate se sambou? Predpokladam, ze kvuli snadnemu pripojeni bez logovani si na WIN7 nastavim pro ucet PETR nejake heslo, stejne heslo jake bude mit ten ucet na SAMBE, kam chci pristupovat, takze se dostanu vsude? V kanclu potom nastavim ucet na FIRMA a dostanu se implicitne jenom na firemni dokumenty. Uvazuju spravne, nebo to ma nejake trhliny a udelali byste to jinak?
Jak to udelat s opravnenim k souborum? Na samba sdilenych adresarich ted mam 777, asi by bylo lepsi dat je do skupiny, treba SDILENI a povolit pristup jenom skupine, ze?
A posledni vec, mate nejakou pomucku, jak tvorite jednoduse zapamatovatelna a SILNA hesla? Treba nejaky jednoduchy vzorec a vkladat podle nej znaky na urcite pozice, apod.? Treba heslo pepa pro seznam schranku pseepzan ? 
)
Diky za rady, Petr
19.4.2014 13:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jak to delate?Používáme SSH klíče, samozřejmě.
Plus deset. Nemusí nutně jít jenom o SSH klíče — na spoustě webových a mailových serverů se dá autentifikovat pomocí x.509 klíčů a certifikátů, což podporují browsery i mailoví klienti. Vždycky je lepší mít nějakou vrstvu zabezpečení navíc. Zašifrovaný klíč má tu výhodu, že použití jakýchkoliv (potenciálně slabých) hesel končí na lokálním počítači při odemykání toho klíče — nikde tam není příležitost pro vzdálený slovníkový útok na heslo. Ukradení počítače s klíčem už slovníkový útok umožňuje, ale taky mnoho škody nenapáchá, pokud se příslušný certifikát včas revokuje. (Jinak to může dopadnout u zapnutého počítače s odemčeným klíčem, ale tam už si člověk nevybere. Zabezpečení nemůže být dokonalé.)
Jakmile má člověk nějakou rozumnou distribuci certifikátů, může je snadno aplikovat i na WiFi. Proto i na domácí síti používám EAP-TLS. Neexistuje tam žádná autentifikace heslem a v případě ztráty zařízení se dá příslušný certifikát jednoduše revokovat. Zcela odpadá problém s povinnou změnou hesel, s hesly příliš podobnými těm předchozím a tak podobně. Certifikát zkrátka vyprší (třeba za rok) a pak je třeba vygenerovat nové klíče. Jakmile heslo slouží jen pro odemčení soukromého klíče a nepoužívá se pro vzdálenou autentifikaci, poskytuje to drobný bezpečnostní prvek navíc. Protokoly typu 802.1x fungují i po ethernetu, takže se dá s trochou snahy v podstatě stejným způsobem zabezpečit i drátová síť, například v prostředí, kde existují příliš snadno dostupné ethernetové porty.
Překážkou v nasazení tohoto mechanismu ovšem může být orthodoxní ignorantství ze strany takzvaných „normálních uživatelů“. 
To je někdy opravdu nepřekonatelné.
Hmm, ok, ale to je vec SSH a prihlasovani na terminal. Jak na tu sambu, tam bych byl rad, aby to chodilo klasicky, jako je sdileni ve win, cili zapamatovanim nejakeho jmena a hesla - kdyz je budu mit stejne na sambe i klientskem PC, nemel by me win otravovat s heslem, ze?
Jinak ten nastrel uzivatelskych uctu mam OK? A zablokovani roota...?
P.
Jo, ja mam v praci mikrotika na kterem mi bezi vpn a pripojuju se defakto zvenku do firemni site, takze vubec zadne porty neresim. Spustim notebook, pripojim vpn - klidne pres open wifi a mam bezpecny net i pristup k souborum. jde mi spis o to, ze kdyz mam na notebooku s w7 usera petr a na sambe firma, tak se nepripojim. Musim pouzit jine jmeno. Proto by mne zajimalo, jak mate vyresenou politiku uctu a hesel, zda mate sjednocene ucty a nemusite zadavat hesla, nebo mate ruzne ucty. ted mi dochazi, ze asi malo kdo tady prichazi do styku s win a pouziva sambu, ze? jak je to aspon s tim rootem? A uctem spravce? Mate extra ucet s pravy roota / sudoers nebo pracujete pod jednim, ktery vyuzivate jako uzivatele i jako roota pres sudo? tutorialu je hodne, ale chybi mi takove ty tipy pro spravne navyky, proste jak to delat co nejjednoduseji a soucasne bezpecne.
Nemám nic sjednocené, připojuji se pod nezávislými identitami, prostě si je namontuji pod specifickými „credentials“.
Komukolivžel pracuji i na herní konzole, nicméně tam tyto věci neřeším a ani nechci( propojit vzájemné sdílení virů :) ).
S tím root-em tomu nerozumím od začátku takže moc nevím na co se ptáš.
Osobně považuji sudo ve stylu Bubuntu za zbytečnou komplikace (a snížení bezpečnosti, ale to jen k vůli modelům chování) a nikde jej nepoužívám (výjimečně na specifické věci). Bubuntu „dávám“, ale sám nevím důvod proč bych jej měl používat…
Když potřebuji root-a použiji root-a (, který má zakázané ssh přihlášení) - to je můj přístup.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.