> Skenariosi tuskin on yleinen, ei etenk��n niin yleinen ett� sen takia
> vaarallinen asetus sshd_confiin kannattaisi laittaa.
Miksi se on vaarallinen? Se nyt on herttaisen yhdentekev��, ett�
kielt�ytyyk� se sshd p��st�m�st� sis��n siksi, ett� sshd_config:ssa
kiellet��n tai sitten sen takia, ett� rootilla ei ole salasanaa.
Musta toi asetus on ihan hyv�. Jos k�ytt�j� haluaa sallia rootin
kirjautumisen, niin asettaa rootille salasanan, eik� tartte koskea
mihink��n muuhun.
> No on - t�ss� tapauksessa etenkin: root on koko netist� "poketettavissa".
Onhan se ihan yht� tavalla poketettavissa, oli toi asetus p��ll� tai
ei. Ja kummallakaan tavalla pokettamisesta ei ole haittaa - paitsi
jos siin� sshd:ss� on bugi, ja bugi voi olla ihan yht� hyvin tuon
asetuksen k�sittelyss� kuin salasanattomuuden tarkistamisessa.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
No onko muutos "PermitRootLogin no" --> "PermitRootLogin yes" ihan hirve�n
hankala tehd�? Minusta se on ihan yht� triviaali muutos kuin salasana
asettaminen. Vaatii toki sshd:n uudelleen k�ynnist�misen, mutta t�m� ei
vaikuta olemassa oleviin yhteyksiin. Jos tuota ei osaa tehd�, on parempi
olla muuttamatta j�rkev�� oletusasetusta, joka nyt siis ei ole j�rkev�.
> Onhan se ihan yht� tavalla poketettavissa, oli toi asetus p��ll� tai
> ei. Ja kummallakaan tavalla pokettamisesta ei ole haittaa - paitsi
> jos siin� sshd:ss� on bugi, ja bugi voi olla ihan yht� hyvin tuon
> asetuksen k�sittelyss� kuin salasanattomuuden tarkistamisessa.
Kuinkahan moni tauno asettelee ihan huvikseen Ubuntussa salasanan rootille
tyyliin "toor" tai "root", eik� ymm�rr� ett� n�ill� tullaan aika helposti
sis��n kiitos huonojen oletuksien. Omalle tunnuksellekin voi antaa huonon
salasanan, mutta tunnukset ei ole vakioita.
Miksi omaan jalkaan ampuninen olisi teht�v� mahdollisimman helpoksi?
--
sip:t...@tav.iki.fi http://tav.iki.fi
"pico?!? What kind of person uses pico?" -- Hackles at November 28 ,2001
http://hackles.org/cgi-bin/archives.pl?request=93
Tai luo rootille avainparin jonka l�tkii sudon avulla paikoilleen.
Tosin, jos tuon osaapi tehd� osaa kyll� vaihtaa sen sshd_configin
asetuksenkin.
Itse en tosin keksi syyt� miksi rootin pit�isi p��st� salasanalla ssh:lla
sis��n. Oikein miettim�ll� keksin ylip��t��n syyn salasanan k�ytt��n.
Esim koneen ehj�ys kun verkko on rikki eik� autentikointi toimi eik�
asiaa ole otettu etuk�teen huomioon ja varmistettu ett� yll�pitotunnukset
kopioituu my�s paikallisesti.
Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
10 vuoteen tarvinnut.
--
Mielipiteeni on voinut muuttua, mutta ei se tosiasia ett� olen oikeassa.
Jos pit�� saada tunneloitu X toimimaan muutaman hyppykoneen takaa ja sudo ei
ole k�yt�ss�, niin tuo lienee ainoa tapa. Olen joutunut t�m�n vuoksi
muutaman kerran enabloimaan root-loginin ssh:lla. T�m� siis sis�verkoissa ja
v�liaikaisesti.
> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
> 10 vuoteen tarvinnut.
VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
Ubuntujen suhteen.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
No ei ole.
> Ja kummallakaan tavalla pokettamisesta ei ole haittaa - paitsi
> jos siinᅵ sshd:ssᅵ on bugi, ja bugi voi olla ihan yhtᅵ hyvin tuon
> asetuksen kᅵsittelyssᅵ kuin salasanattomuuden tarkistamisessa.
Tai kerberoksen asennuksessa tai ...
Yksi vallihauta lisᅵᅵ.
--
@jhol
Ei vaadi.
--
@jhol
Minulla on tarve pᅵᅵstᅵ (ei roottina) paikoista joihin en voi laittaa
avainta kotiin.
Noh, "tarve" ja "tarve", pakkohan on vain verot ja kuolema ...
> Kotikoneessa en keksi syytᅵ rootin salasanalle. Ainakaan itse ole yli
> 10 vuoteen tarvinnut.
Ei ole noin kauaa kun "home"n puuttuminen esti sisᅵllepᅵᅵsyn - home ei
mounttaannu (syystᅵ tai toisesta), koneeseen ei pᅵᅵse sisᅵlle. "Nykyᅵᅵn"
tuo on nᅵᅵmmᅵ korjattu. En muista kᅵyttistᅵ, jokin Linux.
--
@jhol
Mutta onhan salasanalla suojattu avaimilla tehty autentikointi
kuitenki turvallisempi kuin pelkk� salasanalla tehty.
--
Eino Tuominen
Miten saan sen avaimen nettikioskin koneeseen?
Tosin harvassa on puttyᅵkᅵᅵn ...
--
@jhol
Ah, luin v��rin, ymm�rsin ettet voi laittaa avainta
kotikoneelle. Jos salasanoja on pakko noista paikoista
k�ytt��, niin silloin pit�isi k�ytt�� jotain
kertak�ytt�salasanasysteemi�.
Hmm, mitenk�h�n toimisi kertak�ytt�avaimet ssh:n kanssa...
--
Eino Tuominen
Jos sudoa ei tosiaan ole ja tarvitset asioita roottina tarvitset yleens� my�s
sen rootin salasanan sitten... Jos pysyt normaalik�ytt�j�n� koko matkan ei
hyppyjen m��r� vaikuta.
>> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
>> 10 vuoteen tarvinnut.
>
> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
> Ubuntujen suhteen.
Onko tuo version 2 ominaisuuksia? versiossa 1 viel� toimii ilmankin enk�
ole keksinyt tarvetta 2:n asennukseen. Tosin taisi l�yty� taas yksi syy
miksi ei kannata edes kokeilla...
Djp
Koska tuo on konffauskysymys voi hyvinkin olla ett� joku on joskus
konffannut tahallaan noin lukemalla jonkun harding-howton ymm�rt�m�tt�
lukemaansa. Voi jopa olla ett� johonkin propellipipo jakeluun laitettu
oletukseksikin erikseen p��lle.
SLS:sta en muista, enk� ihan varmasti slackware 2.0-3.0 versioistakaan mutta
RH4.2 aalkaen olen kokolailla varma ett� sis��n on p��sty ilman kotihakemistoa.
Sen verran rupista ollut NFS-elo Linuxin kanssa ett� noihin tilanteisiin on
kyll� t�rm�tty.
Djp
rsa-avaimenper� ja sill� eteenp�in...
itse autentikoinnin voit suorittaa mit� pulikkaa vasten
tahansa joka osaa vastata true / false kun arvot on
v�litetty sille.
Djp
No mutta kun moni asennusohjelma haluaa olla nimeomaan root. J�ik� se
sinulle ep�selv�ksi? Jani hyv�, kun olet kerta ollut alalla 15 vuotiaasta,
niin kai t�m�n ymm�rr�t.
>>> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
>>> 10 vuoteen tarvinnut.
>>
>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
>> Ubuntujen suhteen.
>
> Onko tuo version 2 ominaisuuksia? versiossa 1 viel� toimii ilmankin enk�
> ole keksinyt tarvetta 2:n asennukseen. Tosin taisi l�yty� taas yksi syy
> miksi ei kannata edes kokeilla...
Nimenomaan versiossa 1 ei toiminut. Voit varmaan antaa ohjeet miten toimii
ilman. Ubutunssa. Kerro samalla miten 30 vuotiaalla on 15 vuoden kokemus
IT-alalta.
V�h�n viini� ja ruokaa ei vie meit� konkurssiin -- J.R. Ewing
Toki, l�hinn� siis ajattelihin tuohon Joukon
tarkoittamaan kotikoneelle p��syyn. RSA:n
vehkeet on siihen tarkoitukseen turhan j�reit�.
--
Eino Tuominen
<http://www.cs.columbia.edu/~crf/crf-guide/resources/network/otp-ssh.html>
YMMV.
--
@jhol
Nyt siirtyi maali. �sken puhuit hypyist� ja x forwardista, nyt haluat
asentaa jotain. Ja kyll�, jos pit�� olla oikeasti root eik� sudoa ole,
pit�� k�ytt�� muuta keinoa ja tarvinnet salasanaakin. V�itink� miss� kohdassa
muuta tuossa yll�?
>>>> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
>>>> 10 vuoteen tarvinnut.
>>>
>>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>>> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
>>> Ubuntujen suhteen.
>>
>> Onko tuo version 2 ominaisuuksia? versiossa 1 viel� toimii ilmankin enk�
>> ole keksinyt tarvetta 2:n asennukseen. Tosin taisi l�yty� taas yksi syy
>> miksi ei kannata edes kokeilla...
>
> Nimenomaan versiossa 1 ei toiminut. Voit varmaan antaa ohjeet miten toimii
> ilman. Ubutunssa. Kerro samalla miten 30 vuotiaalla on 15 vuoden kokemus
> IT-alalta.
Toimii samalla tavalla Ubuntussa kuin muissakin jakeluissa, ellei olla
erikseen jotain rikottu. J�lkimm�iseen vastaan ett� menin t�ihin
Business Forumiin vuonna 1995 josta alkaen olenkin pysynyt ty�el�m�ss�.
Ennen tuota tein l�hinn� harrasteena REXX:illa yht� kulunvalvontaan
liittyv�� palikkaa josta jopa sain muutaman markan muiden mukana.
Haluatko tiet�� lis��?
Kertoisitko vastavuoroisesti sitten jotain itsest�si? Perinteisestih�n
vain tivaat muilta vastaukset suostumatta itse vastaamaan kuin
ymp�ripy�reit�.
Luulin idean olevan ett� rootille pit�� ssh sallia, muttei ulkoverkosta.
Ulkoverkosta taas pit�isi p��st� muuten vain ssh:lla sis��n. Ehdotin jo
kerberosta, koska se nimenomaan toimisi noin. Ulkomaailmasta puuttuisi
tiketti eik� sis��n p��se edes oikealla salakalalla. Tosin, jos tuo
pamahtaa eip� p��se sis�verkostakaan, mutta atk:han ei hajoa...
Minkᅵs salasanan nᅵmᅵ Ubuntut kysyvᅵt siinᅵ vaiheessa kun systeemi
ei buuttaa ja se pitᅵᅵ ajaa ylᅵs single-user modessa yllᅵpitotoimen-
piteitᅵ varten? ᅵlkᅵᅵ nyt vaan sanoko ettei mitᅵᅵn?
Sami
Ihan pakko kysy�: mit� merkityst� tuolla on jos ollaan jo konsolilla?
Mutta, Ubuntu 9.10:ssa on suoran grubin valikossa erikseen jokaiselle
asennetulle kernelille Recovery mode jota k�ytt�m�ll� k�ynnistyy erillinen
menu, josta voi valita korjataanko paketteja, ehj�t��nk� grubia,
bootataanko normaalisti vai tiputetaanko root-shelliin (verkolla
tai ilman).
Koska on p��sy grubiin, voidaan rootin salasana-kysely ohittaa kuitenkin
komentamalla init=/bin/sh. Tietysti voidaan suojata sitten grub jollain
salasanalla, mutta t�m�(kin) on jo eriasia kuin root-salasana.
init-kikkailut, sielt� mounttaamiset jne voidaan my�s est�� kryptaamalla
levy, mutta tuohonkaan ei k�ytet� root-salakalaa.
Djp
Kyll�. Jotkut asennussoftat vaatii X:n. En ihmettele, ettet ole koskaan
t�llaisiin t�rm�nnyt. V�henee� esimerkkini todenmukaisuus jotenkin siit�,
ett� jotkut asennussoftat vaatii X:n?
> Ja kyll�, jos pit�� olla oikeasti root eik� sudoa ole,
> pit�� k�ytt�� muuta keinoa ja tarvinnet salasanaakin. V�itink� miss� kohdassa
> muuta tuossa yll�?
En v�itt�nyt ett� v�itit mit��n. Esitin vain esimerkin, jossa olen joutunut
enabloimaan rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk� vain kykene
uskomaan mit��n vastav�itteit� tai esimerkkej�.
>>>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>>>> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
>>>> Ubuntujen suhteen.
>
> Toimii samalla tavalla Ubuntussa kuin muissakin jakeluissa, ellei olla
> erikseen jotain rikottu.
Muissa jakeluissa logataan roottina sis��n, ja annetaan rootin salana. T�m�n
j�lkeen MUI:ssa on mukana koko toiminallisuus. Miten teet t�m�n Ubuntussa
enabloimatta salasanaa. Mill� tunnuksella saat koko toiminnallisuuden?
> Kertoisitko vastavuoroisesti sitten jotain itsest�si? Perinteisestih�n
> vain tivaat muilta vastaukset suostumatta itse vastaamaan kuin
> ymp�ripy�reit�.
Oma CV:ni l�ytyy kyll� verkosta. Muita samannimisi� henkil�it� ei ole
olemassa. Aloitin IT-alalla 24-vuotiaana. Ty�uraan
mahtuu yrityksi� kooltaan 30 - 400 000 henkil��. Yhteens� olen ollut
kahdeksan eri IT-alan yritt�j�n palveluksessa. Teen t�it� p��toimisesti
ulkoisille asiakkaille, kuten olen tehnyt l�hes koko IT-alan ty�urani.
T�n� vuonnan tulee 15 vuotta t�yteen alalla. T�t� ennen olen kes�isin
toiminut mm. palomiehen�, kansimiehen�, trukkikuskina, puutarhaty�ntekij�n�
ja varastomiehen�. Ensimm�inen kes�ty�paikkani oli HOP:lla ollessani
16-vuotias. T�m� oli vuonna 1987. Ensim�isen tietokoneeni sain 1982.
Tein t�lle basicilla h�lm�j� pelej�. Kone ja pelit on edelleen tallessa.
Riitt��k�?
"By the way, I was being sarcastic" -- Homer J. Simpson
Enp� tied�. Ehk� t�ss� on yksi syy olla poistamatta sit� salasanaa.
The Internet is *full* - go away! -- Gert Doering
Ei v�hene. Ja mist� p��ttelet etten ole t�rm�nnyt. En vaan osannut
ennakoida sinun maalinsiirtoasi. Kun v�itin ettei rootin salasanaa tarvita
kotona, se v��ntyi yht'�kki� siihen ettei muka rootin tunnusta tarvita.
Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
laillista salasanaa.
> En v�itt�nyt ett� v�itit mit��n. Esitin vain esimerkin, jossa olen joutunut
> enabloimaan rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
> v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk� vain kykene
> uskomaan mit��n vastav�itteit� tai esimerkkej�.
Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
sudon pois. En vain ymm�rr� sit� miksi heiluttelet maalia ja yrit�t
saada minua todistamaan asioita joita en ole alunperin v�itt�nyt.
> [vuodatus]
> Riitt��k�?
Riitt��. Ja tarkensi monta asiaa .linuxin puolelta. Veikkaukseni siell� siis
osui kuin osuikin oikeaan.
Vastasin kysymykseesi: "Itse en tosin keksi syyt� miksi rootin pit�isi
p��st� salasanalla ssh:lla". T�ss� et puhunut mit��n kotikoneesta.
> Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
> laillista salasanaa.
T�m� on tarpeetonta ja huono asetus kaikille, koska jotkut voivat sen
salasanan asettaa, muttei v�ltt�m�tt� halua, ett� kukaan tulee roottina
sis�lle ssh:lla.
> Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
> on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
> sudon pois.
Sudo ei ole kaikkialla k�yt�ss�. Esimerkkini on oikeasta el�m�st�.
> En vain ymm�rr� sit� miksi heiluttelet maalia ja yrit�t
> saada minua todistamaan asioita joita en ole alunperin v�itt�nyt.
Mene viestiketjua taaksenp�in, ole hyv�. Sinulla oli kaksi maalia:
On 2010-01-04, Jani Markkanen <jani.ma...@iki.fi> wrote:
> Itse en tosin keksi syyt� miksi rootin pit�isi p��st� salasanalla ssh:lla
> sis��n. Oikein miettim�ll� keksin ylip��t��n syyn salasanan k�ytt��n.
T�h�n annoin esimerkin softan asennuksesta, joka nyt on sinusta maalin
siirtoa.
Toinen olettamasi oli:
On 2010-01-04, Jani Markkanen <jani.ma...@iki.fi> wrote:
> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
> 10 vuoteen tarvinnut.
T�h�n annoin esimerkin VMwaren MUI:sta, jonka k�sittelyn p��tit lopettaa,
kun et keksinytk��n vastav�itteit�.
> Riitt��. Ja tarkensi monta asiaa .linuxin puolelta. Veikkaukseni siell� siis
> osui kuin osuikin oikeaan.
Eli kun sinulle selvisi, ett� teen t�it� isoille kymmenien ja satojen
tuhansien henkil�iden yrityksille ja ty�skentelen yrityksess� jossa on
satoja tuhansia henkil�it�, niin p��telm�si ett� kokemukseni rajautuu
muutaman henkil�n yrityksiin on oikea? Vai mit� veikkausta tarkoitat.
En kyll� keksi oikein tarvetta yritysmaailmastakaan, kun jo avainpareilla
homma hoituu fiksummin kuin rootin omalla salasanalla. Jos siis puhutaan
nimenomaan ssh:lla teht�v�st� loginista.
Ja kyll�, tied�n ett� on olemassa huonosti rakennettuja ymp�rist�j�, sit�
ei tarvitse mainita. Koska asiat voisi tehd� niiss� paljon fiksummin,
niiss�k��n ei ole _tarvetta_. Pelk�st��n osaamattomuutta.
>> Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
>> laillista salasanaa.
>
> T�m� on tarpeetonta ja huono asetus kaikille, koska jotkut voivat sen
> salasanan asettaa, muttei v�ltt�m�tt� halua, ett� kukaan tulee roottina
> sis�lle ssh:lla.
Miten tuo esitt�m�ni vaikuttaa tuohon huonontavasti? Tosin, on jo k�ynyt
selv�ksi ettet oikein hallitse avainpareja. Jos taas sekoitat minun
ja Arin v�itteet siit� ett� Ubuntun oletus on hyv�, olen siit� Arin
kanssa eri mielt�. Jos osaa tehd� avaimet osaa my�s erikseen sallia
root-loginin.
>> Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
>> on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
>> sudon pois.
>
> Sudo ei ole kaikkialla k�yt�ss�. Esimerkkini on oikeasta el�m�st�.
Ei niin. My�sk��n varmuuskopioinnit ei ole kunnossa kaikista
t�rkeist� palvelimista. En silti v�itt�isi ett� t�m� on tie johon
pit�� pyrki�. Typeryyksi� tehd��n.
> T�h�n annoin esimerkin VMwaren MUI:sta, jonka k�sittelyn p��tit lopettaa,
> kun et keksinytk��n vastav�itteit�.
Jos huomaan v�ittelev�ni aiheesta idiootin kanssa, yrit�n varmistua ett�
toinen ei tee samoin. Siksi ajattelin lopettaa. Konsultointia ohjelmien
asennuksesta, k�ynnistyksest� ja Unix-koneiden yl�pidosta voin my�s
tarjota ty�ajallani. Suosittelisin sit� ainakin jostain hankkimaan jos
ihan oikeasti alalle oikeisiin yl�pito- tai kehityshommiin aiot.
> Eli kun sinulle selvisi, ett� teen t�it� isoille kymmenien ja satojen
> tuhansien henkil�iden yrityksille ja ty�skentelen yrityksess� jossa on
> satoja tuhansia henkil�it�, niin p��telm�si ett� kokemukseni rajautuu
> muutaman henkil�n yrityksiin on oikea? Vai mit� veikkausta tarkoitat.
T�ytt� ymm�rt�m�tt�myytt�. Jos tosissasi v�it�t ett� noissa isoissa
firmoissa kuka tahansa saa luoda tunnuksia kelle tahansa eik� ole
keskistetty� hallintaa millekk��n on se osoitus siit�. My�skin se,
ett� rootin salasana on se jota jaellaan kaikille kysyjille on
merkki siit�.
> Jos pit�� saada tunneloitu X toimimaan muutaman hyppykoneen takaa ja sudo ei
> ole k�yt�ss�, niin tuo lienee ainoa tapa. Olen joutunut t�m�n vuoksi
> muutaman kerran enabloimaan root-loginin ssh:lla. T�m� siis sis�verkoissa ja
Eih�n toi skenaario root-loginia vaadi? Kyll� se su toimii
remotenakin, ja x-tunnelointi my�s su:n j�lkeen, kunhan xauthilla
laittaa oikeudet kuntoon ja asettaa $DISPLAY:n (Tai jos ei jaksa
xauthilla s��t��, niin sitten kopioi siviilimin�n kotihakemistosta
.Xauthorityn my�s rootille :)
> Mink�s salasanan n�m� Ubuntut kysyv�t siin� vaiheessa kun systeemi
> ei buuttaa ja se pit�� ajaa yl�s single-user modessa yll�pitotoimen-
> piteit� varten? �lk�� nyt vaan sanoko ettei mit��n?
Jos kone p��st��n boottaamaan konsolilta, niin tuolla ei ihan oikeasti
ole mit��n merkityst�.
Juurikin n�in. Samanlaisia operaatioita joutuu tekem��n jos on tottunut
kirjoittamaan "sudo su -" ett� operoi roottina. Opettaa liikaa v��ri�
tapoja...
sudllahan toi menis tosiaan ihan suoraan, mutta sit� ei saanut k�ytt��
koska se toimii ja on siihen suunniteltu.
Djp
> Hmm, mitenk�h�n toimisi kertak�ytt�avaimet ssh:n kanssa...
Ihan hienosti. Duunissa meill� ssh kysyy sek� paikallisen salasanan
ett� OTP-tokenista otetun salasanan. (PS. Tiet��k� joku halvempaa
tokenia kuin RSA:n virallinen tai Zyxelin. Zyxelin tokeneita
kokeiltiin, mutta niist� yli puolet on hajonnut ensimm�isen vuoden
aikana ja noi RSA:t on liian kalliita muutaman henkil�n pikkufirmalle)
P��sitk� kuitenkin muuten jo kartalle siit�, mist� keskustelun avasit?
Vai siirreltiink� edelleen maalia? Min�h�n en v�itt�nyt mit��n, annoin vain
esimerkin, jossa itse olen joutunut enabloimaan rootin loggauksen
hetkellisesti salasanalla.
>>> Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
>>> laillista salasanaa.
>>
>> T�m� on tarpeetonta ja huono asetus kaikille, koska jotkut voivat sen
>> salasanan asettaa, muttei v�ltt�m�tt� halua, ett� kukaan tulee roottina
>> sis�lle ssh:lla.
>
> Miten tuo esitt�m�ni vaikuttaa tuohon huonontavasti? Tosin, on jo k�ynyt
> selv�ksi ettet oikein hallitse avainpareja.
Ok, luin rivien v�list� v��rin.
>>> Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
>>> on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
>>> sudon pois.
>>
>> Sudo ei ole kaikkialla k�yt�ss�. Esimerkkini on oikeasta el�m�st�.
>
> Ei niin. My�sk��n varmuuskopioinnit ei ole kunnossa kaikista
> t�rkeist� palvelimista. En silti v�itt�isi ett� t�m� on tie johon
> pit�� pyrki�. Typeryyksi� tehd��n.
En ole ottanut kantaa esimerkkiymp�rist�ni j�rkevyyteen. Annoin sinulle
esimerkin todellisesta el�m�st�. Yrit�t nyt kiemurrella t�st� irti, kun et
muuta osaa.
>> T�h�n annoin esimerkin VMwaren MUI:sta, jonka k�sittelyn p��tit lopettaa,
>> kun et keksinytk��n vastav�itteit�.
>
> Jos huomaan v�ittelev�ni aiheesta idiootin kanssa, yrit�n varmistua ett�
> toinen ei tee samoin. Siksi ajattelin lopettaa. Konsultointia ohjelmien
> asennuksesta, k�ynnistyksest� ja Unix-koneiden yl�pidosta voin my�s
> tarjota ty�ajallani. Suosittelisin sit� ainakin jostain hankkimaan jos
> ihan oikeasti alalle oikeisiin yl�pito- tai kehityshommiin aiot.
Et siis osaa kertoa miten VMware Serverin MUI:hin logataan roottina
ja saadaan t�ysi toiminallisuus. Vinkki: MUI on se web-pohjainen
hallintaty�kalu. Siihen logataan selaimella root-tunnuksilla, jotta
saadaan kaikki ominaisuudet k�ytt��n. Siihen voi Ubuntussakin logata
admin-ryhm��n kuuluvilla tunnuksilla, mutta t�ll�in kaikki ominaisuudet ei
ole k�yt�ss�. Jos rootilla ei ole salasanaa, sinne ei voi logata roottina.
Sin� tietysi menisit sis��n sudolla, kun et tied� mist� puhutaan.
Minulle selvisi kyll� jo ihan alussa, ett� et tied� mist� v�ittelet,
mutta kunhan v�ittelet, kun et koskaan pysty tunnustamaan olevasi
v��r�ss� miss��n, vaikka v��r�ss�olosi tiet�� naapurin kissakin.
> T�ytt� ymm�rt�m�tt�myytt�. Jos tosissasi v�it�t ett� noissa isoissa
> firmoissa kuka tahansa saa luoda tunnuksia kelle tahansa eik� ole
> keskistetty� hallintaa millekk��n on se osoitus siit�. My�skin se,
> ett� rootin salasana on se jota jaellaan kaikille kysyjille on
> merkki siit�.
En ole v�itt�nyt mit��n mit� yll� esit�t. Kerrotko viel� mik� se arvauksesi
oli joka meni oikeaan?
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Mutta kun se X:n pit�� menn� samassa tunnelissa. V�liss� oli useampi
hyppykone. Yritin kyll� asettaa DISPLAY:ta, siksi, mik� ssh:lta tuli su:n
j�lkeen, mutta kun ei toiminut mill��n muulla tavalla. En v�it�, etteik�
joku muu tapa olisi, mutta tuolloin en saanut mit��n muuta tapaa toimimaan.
The Internet is *full* - go away! -- Gert Doering
Kyll� n�it� j�lkiviisaita l�ytyy, jotka ei ole koskaan paikalla kun itse
ongelma on akuutti. Mik��n esitetty vaihtoehtoinen ratkaisutapa ei toiminut.
Yritettiin kyll�.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
En mielest�ni ole kiemurtelemassa irti. Olen sanonut ettei ole tarvetta ja
olen yh� edelleen sit� mielt�. Sin� olet kertonut ett� on olemassa huonosti
hoidettuja ymp�rist�j� joita et osaa korjata ja siksi mielest�si on tarve
tehd� asioita edelleen huonosti. Minun mielest�ni se tarve olisi ymp�rist�n
korjaaminen jotta asiat voisi tehd� fiksummin.
> Et siis osaa kertoa miten VMware Serverin MUI:hin logataan roottina
> ja saadaan t�ysi toiminallisuus. Vinkki: MUI on se web-pohjainen
> hallintaty�kalu.
Kyse ei ole varsinaisesti MUI:sta. Samat ongelmat tulee vastaan my�s
vmware server consolella. Kun korjaat oikeudet resursseihin molemmat
toimivat.
> Minulle selvisi kyll� jo ihan alussa, ett� et tied� mist� v�ittelet,
> mutta kunhan v�ittelet, kun et koskaan pysty tunnustamaan olevasi
> v��r�ss� miss��n, vaikka v��r�ss�olosi tiet�� naapurin kissakin.
Tunnustan kyll� ett� pystyn olemaan v��r�ss�. Usein olenkin ja siksi
korjaan toimintatapojakin. Siksi aikanaan lopetin "sudo su -" k�yt�nkin.
Samasta syyst� vaihdoin Debianista takaisin Red Hatiin vuosia sitten
vaikka v�itin sit� paremmaksi. Sen sijaan t�ss� keskustelussa ei ole
viel� kerrottu miss� olisin v��r�ss�. On vaan esitetty ett� on olemassa
huonosti hoidettu ymp�rist�j� joissa on muka kielletty toimimasta
fiksusti. En v�it� ettei n�it� ymp�rist�j� olisi. V�it�n ett� niiss�
saataisiin helposti huomattavasti paremmat toimintamallit. T�m� taas
tuntuu olevan asia jota sin� et ymm�rr�, vaan otat kokoajan lis��
esimerkkej� siit� kuinka ymp�rist� on huonosti hoidettu.
>> T�ytt� ymm�rt�m�tt�myytt�. Jos tosissasi v�it�t ett� noissa isoissa
>> firmoissa kuka tahansa saa luoda tunnuksia kelle tahansa eik� ole
>> keskistetty� hallintaa millekk��n on se osoitus siit�. My�skin se,
>> ett� rootin salasana on se jota jaellaan kaikille kysyjille on
>> merkki siit�.
>
> En ole v�itt�nyt mit��n mit� yll� esit�t. Kerrotko viel� mik� se arvauksesi
> oli joka meni oikeaan?
Ymm�rt�m�tt�myytesi joka johtuu kokemattomuudestasi. Kuten ylt� voi
p��tell�.
Joo. Tuota voi tosiaan hankaloittaa oleellisesti kielt�m�ll� X forwardin joko
konffissa tai avaimissa. Tosin, noita k�ytt�m�ll� ei suora ssh-login
roottinakaan auttaisi p�tk�n vertaa ellei mihink��n muuhunkaan saa koskea.
Ja j�lkiviisaana on tosiaan helppo olla. Selvisik� tuo koskaan vai jaksoiko
kukaan edes selvitt��? Itselleni tulisi mieleen jossain hypyss� hajoava
user-profiili joka est�� xauthin toiminnan ja joka sitten rootilla toimis.
Esim, kotihakemistossa v��rill� oikeuksissa ko. filetto tai muu vastaava
syy.
Oletat aina, ett� minulla olisi joku valtuus korjata huonosti konfiguroituja
ymp�rist�j�. Kun ei ole. Jos olisi, niin neh�n ei olisi huonosti
konfiguroituja. Sinulla ei ilmeisesti ole t�llaisista tilanteista kokemusta,
koska sinulla ei ylip��ns� ole riitt�v�sti kokemusta.
> Kyse ei ole varsinaisesti MUI:sta. Samat ongelmat tulee vastaan my�s
> vmware server consolella. Kun korjaat oikeudet resursseihin molemmat
> toimivat.
Kyll� kyse on todellakin vain ja ainoastaan MUI:sta. vmware-consolella ei
ole mit��n ongelmia ilman root tunnusta. Kaikki tarvittavat oikeudet on.
> Ymm�rt�m�tt�myytesi joka johtuu kokemattomuudestasi. Kuten ylt� voi
> p��tell�.
Minulla lienee kuitenkin _huomattavasti_ enemm�n kokemusta kuin sinulla. Mit�
se kertoo sinun ymm�rt�m�tt�myydest�si?
V�h�n viini� ja ruokaa ei vie meit� konkurssiin -- J.R. Ewing
X-forward oli enabloitu, eih�n root-loginin enablointi olisi muuten
riitt�nyt.
> Ja j�lkiviisaana on tosiaan helppo olla. Selvisik� tuo koskaan vai jaksoiko
> kukaan edes selvitt��?
Joskus on parempi keksi� kiertotie ja menn� eteenp�in sen sijaan ett�
kuluttaa jonkun rahoja keksim�ll� elegantimpaa mutta ongelman suhteen
merkitykset�nt� ratkaisua. Tuolloin se oli hetkellinen muutos sshd:n
konffiin. Aika harva softa lopulta vaatii X:n. Yleens� n�m�kin voi tehd�
silent-optiolla, mutta ei t�ll�in.
"By the way, I was being sarcastic" -- Homer J. Simpson
En oleta. Mutta, oletan ett� saat ajaa haluamasi komennon asian korjaamiseksi.
Jos et saa, vaan pit�� aina ajaa sama ylh��lt� m��r�tty komento, asia olisi
varmasti automatisoitu.
>> Kyse ei ole varsinaisesti MUI:sta. Samat ongelmat tulee vastaan my�s
>> vmware server consolella. Kun korjaat oikeudet resursseihin molemmat
>> toimivat.
>
> Kyll� kyse on todellakin vain ja ainoastaan MUI:sta. vmware-consolella ei
> ole mit��n ongelmia ilman root tunnusta. Kaikki tarvittavat oikeudet on.
T�m� alkoi k�yd� oikeasti mielenkiintoiseksi. Mik� on vmwaren tarkka
versio ja miss� jakelussa sit� ajat? Sain tuon meinaan toimimaan
omassa koneessani (slave.djp.fi) jossa on RHEL4 ja alunperin vmware
server 1.0.3 ja siit� suora p�ivitys 1.0.10.
Tuo on rakennettu joskus kun 1.0.3 on asennettu ja jos tarpeeksi alkaa
kiinnostamaan voisi tuon asentaa puhtaana jonnekkin, heitt�� virtuaali-
koneet sinne ja katsoa mit� kaikkea koskin.
>> Ymm�rt�m�tt�myytesi joka johtuu kokemattomuudestasi. Kuten ylt� voi
>> p��tell�.
>
> Minulla lienee kuitenkin _huomattavasti_ enemm�n kokemusta kuin sinulla. Mit�
> se kertoo sinun ymm�rt�m�tt�myydest�si?
Voisit siis osoittaa t�t� huomattavaa kokemustasi jossain vaiheessa etk�
vain trollata?
T�m�nh�n jo j�tit lainaamattakin...
>> Ja j�lkiviisaana on tosiaan helppo olla. Selvisik� tuo koskaan vai jaksoiko
>> kukaan edes selvitt��?
>
> Joskus on parempi keksi� kiertotie ja menn� eteenp�in sen sijaan ett�
> kuluttaa jonkun rahoja keksim�ll� elegantimpaa mutta ongelman suhteen
> merkitykset�nt� ratkaisua. Tuolloin se oli hetkellinen muutos sshd:n
> konffiin. Aika harva softa lopulta vaatii X:n. Yleens� n�m�kin voi tehd�
> silent-optiolla, mutta ei t�ll�in.
Kyll�. Etenkin asiakkaalla ollessa on hyv� tehd� v�liaikainen (esim.
juuri asennuksen aikainen) ratkaisu. Sen sijaan yleens� on hyv�
selvitt�� mist� ongelma johtui, sill� yleens� ongelmat eiv�t j��
ainutkertaisiksi vaan niill� on tapana toistua.
Mutta enh�n min� usein ole kuin k�ym�ss�. Ei minulla ole mit��n oikeuksia
tehd� muutoksia systeemin. Monesti pienetkin muutokset ovat prosessin
takana, joka kest�� arviolta kolme viikkoa ja jonka tekee joku jossain
halvan ty�voiman maassa.
> T�m� alkoi k�yd� oikeasti mielenkiintoiseksi. Mik� on vmwaren tarkka
> versio ja miss� jakelussa sit� ajat? Sain tuon meinaan toimimaan
> omassa koneessani (slave.djp.fi) jossa on RHEL4 ja alunperin vmware
> server 1.0.3 ja siit� suora p�ivitys 1.0.10.
Aloin nyt itsekin tutkimaan t�t�, koska dumppasin lopulta koko MUI:n
nevadaan siirtyess�ni 64-bittiseen rautaan ja k�yttikseen. MUI ei asentunut.
No, asensin sen nyt puukottamalla asennusskripti�. Jostain syyst� 1.0.7 ei
asennu, jos '$vmware_version ne "vserver"', joten muutin
'$vmware_version eq "vserver"'. init-skripti taas vaatii muutoksen
"#!/bin/sh" --> "#!/bin/bash". T�m�n lis�ksi aiempi versio sekoili
/var/run:n kanssa. T�m� tuntuu toimivan pinosta tuon osalta.
Minulla on 1.0.7, johon on ajettu p�tsi jolla sain langattoman verkon
siltauksen toimimaan. T�m�n vuoksi en aio koskaan p�ivitt�� :) Po. 2.x
toimii muutoin hyvin, mutta minulla ei ole iloa p�ivitt�� p�ivitt�misen
ilosta.
Kun menen normaali-tunnuksella sis��n, ja yrit�n menn� options-valikoon,
saan:
Kun menen roottina (t�m�n vuoksi siis enabloin rootin salasanan taas kerran
uudelleen):
Tuolta k�sin voi esimerkiksi m��ritell� virtuaalikoneiden
buuttaus-j�rjestyksen. Nyt kun sitten testaan vmware-server-console:lla, niin
en l�yd� normaalik�ytt�j�n� mist��n, miss� vastaava konffis tehd��n�, mutta
p��sen kyll� k�siksi hostin konffikseen. Roottina ei mit��n eroa t�h�n.
Eli consolella n�ytt�isi silt�, ett� p��sen sek� normaalina luuserina
tekem��n t�sm�lleen samat asiat kuin roottina, mutta MUI:ssa tilanne ei
olekaan sama. consolella molemmille avautuu "Edit host settings" samoin
oikeuksin ja optioin, mutta MUI:ssa options ainoastaan rootille.
Mutta tuon buuttaus-j�rjestyksen vuoksi halusin aikanaan MUI:n, tai ainakin
siihen sit� k�ytin. Minulla on nimitt�in reititys virtuaalikoneen kautta,
joten haluan ett� se nousee bootissa ensimm�isen� yl�s. Ja siis en
todellakaan ole keksinyt muuta tapaa, kuin enabloida rootin salasana. Jos
muu tapa on, niin kuulen mielell�ni. T�m� on siis yksi ja ainoa syy, miksi
itse olen enabloinut rootin salasanan Ubuntussa, jos homma toimii ilman,
niin sitten _minulla_ ei ole ainuttakaan syyt� enabloida rootin salasanaa.
Tai ei ole nytk��n, jos en halua muuttaa bootti-j�rjestyst�.
> Voisit siis osoittaa t�t� huomattavaa kokemustasi jossain vaiheessa etk�
> vain trollata?
En min� kyll� .linuxissa tarkoituksellisesti trollaa. Olen ihan oikeasti
sanojeni takana. Ymm�rr�n, ett� joku muu voi olla eri mielt�, ja ymm�rr�n
toki, ett� ainoaa oikeaa totuutta ei ole. Olen jopa joskus vaihtanut
mielipidett�ni.
�) Eik� sill� sin�ns� v�li�, koska tarvetta muutokselle ei ole.
"By the way, I was being sarcastic" -- Homer J. Simpson
T�ss� on kierretty keh��. Hieman juuri t�m�n kaltaisten asioiden takia
pyrin roudaamaan omaa ymp�rist�� mukana, koska juurikaan siihen alkuper�iseen
ei ole oikeuksia. Ja lukuunottamatta aivan pienimpi� nyrkkipajoja on aina
l�hdetty siit� ett� hommiin luovitetaan oma tunnus josta sudotetaan, eik�
annettu edes v�liaikaista root-salasanaa.
Eri asia on kokonaan asiakasyritykset joiden yll�pito on otettu omaan haltuun.
Niiss� tosin on yleens� tehty integroinnit niin ett� tieto tuodaan jostain
ulkopuolelta (henkil�st�-, laite- ja toimittajarekistereist�) josta
erikseen koostetaan esim X.500 hakemisto josta sitten tehd��n hakuja
eri tarkoituksiin. Ideana kaikissa, ett� tietoa k�sitell��n vain
yhdess� paikassa. Oikeilla riippuvuuksilla voidaan k�yt�nn�ss� sanoa
ett� toimittajan a ty�ntekij�ill� b ja c on oikeudet koneryhmiin d ja e
joissa on liuta koneita. Lis�ksi voi olla my�s muita attribuutteja
jotka sitten rajaavat toisilla s��nn�ill� oikeuksia. Erityisesti
kannattaa huomata, ettei t�m� ota kantaa k�yttisperheeseen vaan
Linux-frontendien lis�ksi voi taustalla olla esim MS SQL Server
jonka tiettyyn instanssiin tulee oikeudet samalla...
Kun tieto on vain yhdess� paikassa josta se yksisuuntaista
putke pitkin tuodaan k�yt�kohteeseen, on auditointi poikkeus-
tilanteissa aika paljon helpompaa verrattuna siihen ett� yll�pit�j�t
k�sin lis�isee tunnuksia ja muuttelee rootin salasanoja erikseen
kullekkin toimittajalle eri kohteisiin.
Esim. Landeskin tuotteilla t�m�nkaltaiset asiat on kohtuullisen
helppoa liimata. Ja koska suuri osa j�rjestelm�n konffeista valuu
ylh��lt�, tuodaan se oma ymp�rist� niin l�helle kuin suinkin.
Ymm�rr�n kyll� vastakkaisetkin n�k�kannat. Kuulen niit� viikottain
paikallisilta yll�pit�jilt�. Kunnes ne huomaavat ett� kappas, asiathan
nyt sujuukin paljon n�pp�r�mmin kun otettiin pari p�iv�� koulutusta...
Djp
> Miten saan sen avaimen nettikioskin koneeseen?
>
> Tosin harvassa on puttyäkään ...
>
Hee, jos sinulla on stidi, niin pasalusta vaan
> On 2010-01-05, Jani Markkanen <jani.ma...@iki.fi>
> arvauksesi oli joka meni oikeaan?
>
Hei, älkää lopettako missään nimessä. Sen jälkeen ku XCOPY
loppu, niin ei ole ollut näin hauskaa...
Onhan.
"You cannot be too rich, too thin, or commit too often." -- Mark A.
Eip�s. :)
> Hee, jos sinulla on stidi, niin pasalusta vaan
> http://portableapps.com/
1) Miten saan tuon fyysisesti kiinni nettikioskin koneeseen, ja
2) miten saan nettikioskin virustorjunnan uskomaan, ettᅵ tikulta saa
ajaa ihan mitᅵ sattuu?
--
@jhol
T�m� alkaa olla jo kaukaa haettua, mutta noita yksinkertaisia kertak�ytt�-
salasanajuttuja wepisivuille on pilvin pimein. Sitten vaan NX ja siihen
wepi-interface eteen. teet eteen klunssin josta p��see ohi kertiksell�
joka tas avaa palomuuriin (tai tcp-wrapperin kautta) reij�n sille IP:lle
ja p��set sielt� hakemaan sen clientin jolle normaali salakala. Jos
joku onkii sen kertiksen se ei tee mit��n sill� ja jos on joku
muistelee salasanasi ja osaa ottaa yhteytt� suoraan clientill� on
reik� ummessa (heti ekan oikean loginin ja 2min kertak�ytt�-
loginin j�lkeen). Alle puolentunnin konffaus.
/etc/ssh/sshd_conf:
PasswordAuthentication no
...
AllowUsers lokaalisti...@10.10.10.0/16 etᅵᅵkᅵytettᅵvᅵ
$ su etᅵᅵkᅵytettᅵvᅵ
$ otpw-gen | lpr
Kymmenen minuuttia (otpw pitᅵᅵ asentaa erikseen Ubuntussa).
--
@jhol
Kyll�h�n tuo onnistuu su:lla ja xauthillakin sek�
DISPLAY-ymp�rist�muuttujan s��t�misell�. Ennenvanhaan
tuota tarvittiin kun oli vain telnetit ilman sudoja.
Nyt ssh ja sudo hoitaa kaikki valmiiseen p�yt��n.
Toki siis root (tai mit� uid 0 -tunnusta nyt haluaakin
k�ytt��) tarvitsee salasanan, mutta ssh-loginia sille
ei tarvitse sallia. Toki mun mielest�ni on useimmissa
tapauksissa helpompi sallia se ssh-logini, ja k�yt�nn�ss�
tuo on ihan yht� turvallinen jos rootin salasana vain
on kunnollinen.
--
Eino Tuominen
Kertoisitko oman esimerkkisi tarpeesta jossa root tarvitsee
loginin. Siis salasanan kanssa. Etenkin kun jo hylk�sit
annetun esimerkin.
Sellaisen esimerkin ettei asiaa voi hoitaa ilman v�hint��n
yht� tietoturvallisesti.
Djp
H�h? Leikkasitko tahallaan pois kontekstin, jotta p��sit
hakkaamaan olkinukkea? "Toki siis root tarvitsee salasanan"
viittasi vain siihen ett� p��see su-komennolla rootiksi,
tilanteessa jossa sudoa ei ole k�yt�ss�. Syyt� sudon
poissaoloon sinun t�ytyy kysy� joltain toiselta, min� en
sit� keksinyt.
--
Eino Tuominen
No ei se kyll� onnistu, kun v�liss� on useampi hyppykone ja se kone, jossa
DISPLAY asetettaisiin, ei todellakaan p��se ty�aseman n�yt�lle mill��n
ilveell�. Ty�asema ja palvelin oli siis t�ysin eri verkossa, eik� n�iden
v�lill� ollut reitityst�. Eli X:n on kuljettava sen tunnelin kautta.
"Relational people do it on tables!" -- Timon kommentti tietoviikon
artikkeliin "Miksi tietokanta ei ole en�� seksik�s?"
Ei sudoa jostain syyst� vaan suostuta asentamaan joka paikkaan. T�ytyy nyt
muistaa, ett� t�nnekin ryhm��n kirjoittelee muutama henkil�, joiden mukaan
sudo itsess��n on tietoturvariski.
Vitut.
EVO, mutta eipᅵ pam yritᅵkkᅵᅵn kᅵyttᅵᅵ pam_otpw.so:ta.
Se siitᅵ 10 minuutista, katsotaan onnistuuko 10 tunnissa ...
--
@jhol
No laitat sen DISPLAY:n samaksi kuin mit� sill� viimeiselle
k�ytt�j�ll� joka antaa sen su-komennon. Eli localhost:jotain.
Ja xauthilla kurkit salaiset asiat ja laitat rootille samat
samat sis��n. Tai sitten kopioit roottina sen k�yttj�n
.Xauthority -tiedoston paikalleen, jos vain yksi root
kerrallaan tarvitsee tuota. En m� oikein ymm�rr� miksei toimisi.
Kokeillaanpa. Menin ensin kahden koneen l�pi (ihan saman voi
tehd� yhdell�kin, mutta kun nyt annoit tuon ehdon). Sitten:
$ echo $DISPLAY
localhost:13.0
$ xauth extract /tmp/foo `uname -n`/unix:13
$ su -
# xauth merge /tmp/foo
# DISPLAY=localhost:13.0
# export DISPLAY
# xterm
ja pam, aukes l�pp�rin ruudulla xterm.
> ilveell�. Ty�asema ja palvelin oli siis t�ysin eri verkossa, eik� n�iden
> v�lill� ollut reitityst�. Eli X:n on kuljettava sen tunnelin kautta.
No k�yt� sitten sit� tunnelia, kun sen olet rakentanut. Tietysti
tuo edellytt��, ett� X11Forwarding on p��ll� joka sshd:ss� tuossa
matkan varrella.
--
Eino Tuominen
T�t�kin kokeiltiin, mutta ei suoraan toiminut. Kuten todettu, hyppykoneita
oli useampi kuin yksi, ja se miss� meni pieleen j�i ep�selv�ksi. Minusta tuo
sinun ratkaisu ei toisekeseen ole edes mitenk��n elegantimpi kuin omani.
Kaiken lis�ksi se on jonkin verran ty�l��mpi, mutta mik�s siin�, jos on
aikaa s��t��.
"Sinulla on sitten aika omituisia mielipiteit�."
Jukka Pakkanen 15.10.2009 sfnet.keskustelu.laki
Ei hyppykoneiden m��r�ll� ole mit��n v�li�, jos vaan se X11-
menee niist� kaikista l�pi.
> sinun ratkaisu ei toisekeseen ole edes mitenk��n elegantimpi kuin omani.
> Kaiken lis�ksi se on jonkin verran ty�l��mpi, mutta mik�s siin�, jos on
V�itink� ett� se olisi elegantimpi? Vastasin vain sinun
v�itteeseesi, ett� rootin t�ytyy p��st� tapauksessasi
suoraan ssh:lla sis��n, se kun oli v��r�.
Ja jos tilanne on mik� on, niin kyll�h�n tuo minun tapani
paljon helpompi on silti, kuin sshd:n konffin muuttaminen.
Mutta tietysti jos ei X:n toiminta ole j��nyt telnet-
ajoilta selk�ytimeen, niin YMMV.
Ja niinkuin olen jo kirjoittanut, niin MINUN mielest�ni
root voi kyll� p��st� suoraan ssh:lla sis��n, kunhan vaan
salasana on kunnossa. �l� sotke kaikkia sinun kanssa
keskustelevia samaksi henkil�ksi.
--
Eino Tuominen
V�itink� min� niin? Kerroin, ett� olen esimerkkitilanteessa enabloinut
rootin sis��nkirjautumisen ssh:lla, koska muut tavat ei silloin toimineet.
> Ja jos tilanne on mik� on, niin kyll�h�n tuo minun tapani
> paljon helpompi on silti, kuin sshd:n konffin muuttaminen.
> Mutta tietysti jos ei X:n toiminta ole j��nyt telnet-
> ajoilta selk�ytimeen, niin YMMV.
Normaalisti ei joudu tekem��n mit��n xauthilla. Tai ainakin itselleni on
telnet-ajoista j��nyt mieleen "xhost + jotain" sek� "export
DISPLAY=joku:0.0".
> Ja niinkuin olen jo kirjoittanut, niin MINUN mielest�ni
> root voi kyll� p��st� suoraan ssh:lla sis��n, kunhan vaan
> salasana on kunnossa. �l� sotke kaikkia sinun kanssa
> keskustelevia samaksi henkil�ksi.
Niin, minun mielest�ni se rootin sis��np��st�v� oletus oli huono, joten
turhaan sin� minua itseesi sekoitat.
"By the way, I was being sarcastic" -- Homer J. Simpson
V�itit. Ja olit v��r�ss�, koska DISPLAY ja .Xauthority olisivat
toimineet.
> Normaalisti ei joudu tekem��n mit��n xauthilla. Tai ainakin itselleni on
> telnet-ajoista j��nyt mieleen "xhost + jotain" sek� "export
> DISPLAY=joku:0.0".
No tuo nyt olikin se v��r� tapa. Silloinhan kuka tahansa sai
esim. avattua ko. hostista (tai IP:n spoofamaalla) ruudullesi
mit� tahansa. On tuota tullut kepposteluun k�ytetty�
itsekin.
--
Eino Tuominen
En muuten v�itt�nyt. Alkuper�inen sanomuoto oli muotoa "..lienee ainoa
tapa...". Voit toki itse tarkistaa. Et nimitt�in liene v��r�ss�
v�itt�ess�si, ett� v�itin, vaan nimenomaan v�it�n, ett� olet.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Kirjoitit vastauksessasi (et minulle mutta kuitenkin):
"Esitin vain esimerkin, jossa olen joutunut enabloimaan
rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk�
vain kykene uskomaan mit��n vastav�itteit� tai esimerkkej�."
Eli jouduit tekem��n tuon osaamattomuuttasi, et siksi
ett� se olisi ollut v�ltt�m�t�nt�. Korjaan siis n�kemyst�ni:
et v�itt�nyt ett� tekem�si olisi ollut v�ltt�m�t�nt�,
vaan esitit vain tuon esimerkin tilanteesta jossa se
sinulle oli v�ltt�m�t�nt�. Mutta konteksti miss� alkuper�isen
esimerkkisi esitit viittasi siihen, ett� pidit tekem��si
aidosti tarpeellisena.
--
Eino Tuominen
Korjataanpa loput:
$ otpw-gen -o | lpr
(tulostukseen kannattanee lisᅵtᅵ koneen RSA key fingerprint)
/etc/pam.d/sshd:
...
auth sufficient pam_otpw.so
...
No niin. Noilla muutoksilla mennᅵᅵn. En takaa ettᅵ Ubuntun
pakettimanagerin otpw toimii kun latasin sorsat ja kᅵᅵnsin.
Ei mennyt kuin tunteroinen.
--
@jhol
Mist� sin� tied�t oliko se v�ltt�m�t�nt� tuossa nienomaisessa tapauksessa
vai ei? Min� nimitt�in tied�, ett� tuo esitt�m�si vaihtoehtoinen tapa ei
jostain syyst� toiminut. Sit� en tied� miksi.
Kuten sanottu, n�it� neuvojia kyll� l�ytyy pilmin pimein j�lkik�teen
neuvomaan, mutta sill� hetkell� kun paska lent�� tuulettimeen, samat
hemmot kyyristelee nyysseiss� j�lkineuvomassa joitain muita.
Saat j�lkineuvojan erikoisarvomerkin. Ole hyv�!
"Sinulla on sitten aika omituisia mielipiteit�."
Jukka Pakkanen 15.10.2009 sfnet.keskustelu.laki
Sinua vaan harmittaa kun et osannut. Ei se mit��n, olen
min�kin joskus tehnyt turhia s��t�j�.
--
Eino Tuominen
Minun on hyvin vaikea uskoa tuota todeksi.
"Relational people do it on tables!" -- Timon kommentti tietoviikon
> Ei sudoa jostain syyst� vaan suostuta asentamaan joka paikkaan. T�ytyy nyt
> muistaa, ett� t�nnekin ryhm��n kirjoittelee muutama henkil�, joiden mukaan
> sudo itsess��n on tietoturvariski.
Onhan se toki turvallisempi, ett� koneelle p��sy ja siit� rootiksi
p��seminen vaativat eri salasanan. Ja rootteilu on kahden salasanan
takana toisin kuin normaali sudotustilanteessa, jossa salasanaksi
kelpaa se sama, jolla koneeseen p��si loggautumaankin.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Joskus ennen sudoa oli k�yt�ss� komento "root"-joka k�yt�nn�ss� vastasi
sudo -s -komentoa. Sit� puukotin niin, ett� k�ytt�j�n salasanan sijaan
johdettiin uidia k�ytt�en toinen tunnus, jonka salasana siis vaadittiin
rootiksi p��syyn. Toimi erinomaisen hienosti. Ei viel� ole tarpeeksi
ollut intoa tehd� sudoon vastaavaa puukotusta. Saiskohan tuon tehty�
jollain sopivalla pam-mokkulalla, eik�s sudo k�yt� nykyisin sit�?
--
Eino Tuominen
> ollut intoa tehd� sudoon vastaavaa puukotusta. Saiskohan tuon tehty�
> jollain sopivalla pam-mokkulalla, eik�s sudo k�yt� nykyisin sit�?
Saisi. Ei tartte itte sudoon koskea lainkaan. Mulla sudo kysyy
Zyxelin OTP-tokenilta saatavia numeroita.