On Thu, Sep 01, 2005 at 04:41:05PM +0200, Riccardo Bini wrote:
A me sembra che tu dica un sacco di cagate,
dimostramelo. ;)
mi sembra un selirio il tuo ragionamento
di solito mi capita ma non mi sembra in questo caso.
e non mi sembra per niente franco.
perche'?
Spiegamo come il mio utente e' root e il tuo no.
utente + nopassword -> root sempre e comunque senza alcuna limitazione.
marcogh + richiesta password -> root __solo__ se c'e' la password.
Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo.
perche' nel tuo c'e' nopassword e nel mio no?
La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica.
in linea di principio penso che sia molto piu' improbabile che scoprano una password che c'e' solo nella mia mente. forse un keylogger, ma comunque piu' complicato sicuramente che rubare il tuo portatile, copiare tutto il disco, e restituirtelo.
ma in entrambi i casi il livello di sicurezza di accesso mi sembra sufficente, sia con chiave rsa/dsa sia con password.
pero' la differenza e' che se entrano come utente marcogh sono comuque l'utente marcogh e __NON__ l'utente root.
nel tuo caso invece sono gia' root.
quindi nel mio caso devono cercare un metodo di 'privilege escalation' che permetta di diventare root, e nel tuo no: __SONO_GIA'__ root.
questa e' la differenza.
Questo e' oggettivo e non contestabile, fino a prova contraria. Ripeto, a me sembra una cagata non installare software perche' puo' compromettere la sicurezza... a 'sto punto meglio spegnere tutto che siamo sicuri al 100%
principio del minimo privilegio: se qualcosa non e' strettamente necessaria non la si mette.
il caso di phpldapadmin e' proprio il caso perfetto per spiegare il funzionamento di questo metodo.
se poi vuoi usare comunque phpldapadmin lo metti su un'altra macchina e ci crei un tunnel ssh da una porta locale alla porta ldap di laundry visibile solo dall'interno, e usi il tunnel.
ciao!