Spiegamo come il mio utente e' root e il tuo no.
utente + nopassword -> root sempre e comunque senza alcuna limitazione.
marcogh + richiesta password -> root __solo__ se c'e' la password.
Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo.
perche' nel tuo c'e' nopassword e nel mio no?
Perche' sei malato 8-)
La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica.
in linea di principio penso che sia molto piu' improbabile che scoprano una password che c'e' solo nella mia mente. forse un keylogger, ma comunque piu' complicato sicuramente che rubare il tuo portatile, copiare tutto il disco, e restituirtelo.
A parte il fatto che e' piu' probabile che riescano a rubare la pasword di marcogh che il mio portatile, copiarne il contenuto e restituirmelo (mi sembra un film holliwoodiano su fantomatici hackers!). Ma detto questo, anche se mi rubano il mio portatile, copiano tutto, come possono accedere a lanudry?? Francamente non lo capisco. Spiegamelo tu per favore.
ma in entrambi i casi il livello di sicurezza di accesso mi sembra sufficente, sia con chiave rsa/dsa sia con password.
pero' la differenza e' che se entrano come utente marcogh sono comuque l'utente marcogh e __NON__ l'utente root.
Peccato che se riescono ad entrare come uutente marcogh usando la tua password possono tranquillamente riusare quella password per sudo.....
nel tuo caso invece sono gia' root.
Spiegami come riescano ad entrare come utente rick... il problema e' che tu non riesci a spiegare questa cosa (anche perche' penso non sia possibile in alcun modo) e dici una sacco di cose, vere, ma che non possono esistere se prima non dimostri quanto richiesto sopra.
quindi nel mio caso devono cercare un metodo di 'privilege escalation' che permetta di diventare root, e nel tuo no: __SONO_GIA'__ root.
questa e' la differenza.
Questo e' oggettivo e non contestabile, fino a prova contraria. Ripeto, a me sembra una cagata non installare software perche' puo' compromettere la sicurezza... a 'sto punto meglio spegnere tutto che siamo sicuri al 100%
principio del minimo privilegio: se qualcosa non e' strettamente necessaria non la si mette.
il caso di phpldapadmin e' proprio il caso perfetto per spiegare il funzionamento di questo metodo.
Definiamo cosa non e' stettamente necessario....
se poi vuoi usare comunque phpldapadmin lo metti su un'altra macchina e ci crei un tunnel ssh da una porta locale alla porta ldap di laundry visibile solo dall'interno, e usi il tunnel.
E il tunnell e' sicuro???????????????????????????????????????????????? Dopo tutto quello che hai detto non puoi assolutamente dirmi che stunnell e' sicuro....
Ciao Rick