Re: sshd
Ari Saastamoinen
> Skenariosi tuskin on yleinen, ei etenk��n niin yleinen ett� sen takia
> vaarallinen asetus sshd_confiin kannattaisi laittaa.
Miksi se on vaarallinen? Se nyt on herttaisen yhdentekev��, ett�
kielt�ytyyk� se sshd p��st�m�st� sis��n siksi, ett� sshd_config:ssa
kiellet��n tai sitten sen takia, ett� rootilla ei ole salasanaa.
Musta toi asetus on ihan hyv�. Jos k�ytt�j� haluaa sallia rootin
kirjautumisen, niin asettaa rootille salasanan, eik� tartte koskea
mihink��n muuhun.
> No on - t�ss� tapauksessa etenkin: root on koko netist� "poketettavissa".
Onhan se ihan yht� tavalla poketettavissa, oli toi asetus p��ll� tai
ei. Ja kummallakaan tavalla pokettamisesta ei ole haittaa - paitsi
jos siin� sshd:ss� on bugi, ja bugi voi olla ihan yht� hyvin tuon
asetuksen k�sittelyss� kuin salasanattomuuden tarkistamisessa.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Tapio Väättänen
> Musta toi asetus on ihan hyv�. Jos k�ytt�j� haluaa sallia rootin
> kirjautumisen, niin asettaa rootille salasanan, eik� tartte koskea
> mihink��n muuhun.
No onko muutos "PermitRootLogin no" --> "PermitRootLogin yes" ihan hirve�n
hankala tehd�? Minusta se on ihan yht� triviaali muutos kuin salasana
asettaminen. Vaatii toki sshd:n uudelleen k�ynnist�misen, mutta t�m� ei
vaikuta olemassa oleviin yhteyksiin. Jos tuota ei osaa tehd�, on parempi
olla muuttamatta j�rkev�� oletusasetusta, joka nyt siis ei ole j�rkev�.
> Onhan se ihan yht� tavalla poketettavissa, oli toi asetus p��ll� tai
> ei. Ja kummallakaan tavalla pokettamisesta ei ole haittaa - paitsi
> jos siin� sshd:ss� on bugi, ja bugi voi olla ihan yht� hyvin tuon
> asetuksen k�sittelyss� kuin salasanattomuuden tarkistamisessa.
Kuinkahan moni tauno asettelee ihan huvikseen Ubuntussa salasanan rootille
tyyliin "toor" tai "root", eik� ymm�rr� ett� n�ill� tullaan aika helposti
sis��n kiitos huonojen oletuksien. Omalle tunnuksellekin voi antaa huonon
salasanan, mutta tunnukset ei ole vakioita.
Miksi omaan jalkaan ampuninen olisi teht�v� mahdollisimman helpoksi?
--
sip:t...@tav.iki.fi http://tav.iki.fi
"pico?!? What kind of person uses pico?" -- Hackles at November 28 ,2001
http://hackles.org/cgi-bin/archives.pl?request=93
Jani Markkanen
>
>> Skenariosi tuskin on yleinen, ei etenk��n niin yleinen ett� sen takia
>> vaarallinen asetus sshd_confiin kannattaisi laittaa.
>
> Miksi se on vaarallinen? Se nyt on herttaisen yhdentekev��, ett�
> kielt�ytyyk� se sshd p��st�m�st� sis��n siksi, ett� sshd_config:ssa
> kiellet��n tai sitten sen takia, ett� rootilla ei ole salasanaa.
>
> Musta toi asetus on ihan hyv�. Jos k�ytt�j� haluaa sallia rootin
> kirjautumisen, niin asettaa rootille salasanan, eik� tartte koskea
> mihink��n muuhun.
Tai luo rootille avainparin jonka l�tkii sudon avulla paikoilleen.
Tosin, jos tuon osaapi tehd� osaa kyll� vaihtaa sen sshd_configin
asetuksenkin.
Itse en tosin keksi syyt� miksi rootin pit�isi p��st� salasanalla ssh:lla
sis��n. Oikein miettim�ll� keksin ylip��t��n syyn salasanan k�ytt��n.
Esim koneen ehj�ys kun verkko on rikki eik� autentikointi toimi eik�
asiaa ole otettu etuk�teen huomioon ja varmistettu ett� yll�pitotunnukset
kopioituu my�s paikallisesti.
Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
10 vuoteen tarvinnut.
--
Mielipiteeni on voinut muuttua, mutta ei se tosiasia ett� olen oikeassa.
Tapio Väättänen
> Itse en tosin keksi syyt� miksi rootin pit�isi p��st� salasanalla ssh:lla
> sis��n. Oikein miettim�ll� keksin ylip��t��n syyn salasanan k�ytt��n.
Jos pit�� saada tunneloitu X toimimaan muutaman hyppykoneen takaa ja sudo ei
ole k�yt�ss�, niin tuo lienee ainoa tapa. Olen joutunut t�m�n vuoksi
muutaman kerran enabloimaan root-loginin ssh:lla. T�m� siis sis�verkoissa ja
v�liaikaisesti.
> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
> 10 vuoteen tarvinnut.
VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
Ubuntujen suhteen.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Jouko Holopainen
>
> Onhan se ihan yhtᅵ tavalla poketettavissa, oli toi asetus pᅵᅵllᅵ tai
> ei.
No ei ole.
> Ja kummallakaan tavalla pokettamisesta ei ole haittaa - paitsi
> jos siinᅵ sshd:ssᅵ on bugi, ja bugi voi olla ihan yhtᅵ hyvin tuon
> asetuksen kᅵsittelyssᅵ kuin salasanattomuuden tarkistamisessa.
Tai kerberoksen asennuksessa tai ...
Yksi vallihauta lisᅵᅵ.
--
@jhol
Jouko Holopainen
> No onko muutos "PermitRootLogin no" --> "PermitRootLogin yes" ihan hirveï¿œn
> hankala tehdᅵ? Minusta se on ihan yhtᅵ triviaali muutos kuin salasana
> asettaminen. Vaatii toki sshd:n uudelleen kï¿œynnistï¿œmisen,
Ei vaadi.
--
@jhol
Jouko Holopainen
> Itse en tosin keksi syytᅵ miksi rootin pitᅵisi pᅵᅵstᅵ salasanalla ssh:lla
> sisᅵᅵn. Oikein miettimᅵllᅵ keksin ylipᅵᅵtᅵᅵn syyn salasanan kᅵyttᅵᅵn.
Minulla on tarve pᅵᅵstᅵ (ei roottina) paikoista joihin en voi laittaa
avainta kotiin.
Noh, "tarve" ja "tarve", pakkohan on vain verot ja kuolema ...
> Kotikoneessa en keksi syytᅵ rootin salasanalle. Ainakaan itse ole yli
> 10 vuoteen tarvinnut.
Ei ole noin kauaa kun "home"n puuttuminen esti sisᅵllepᅵᅵsyn - home ei
mounttaannu (syystᅵ tai toisesta), koneeseen ei pᅵᅵse sisᅵlle. "Nykyᅵᅵn"
tuo on nᅵᅵmmᅵ korjattu. En muista kᅵyttistᅵ, jokin Linux.
--
@jhol
Eino Tuominen
>
> Minulla on tarve p��st� (ei roottina) paikoista joihin en voi laittaa
> avainta kotiin.
Mutta onhan salasanalla suojattu avaimilla tehty autentikointi
kuitenki turvallisempi kuin pelkk� salasanalla tehty.
--
Eino Tuominen
Jouko Holopainen
> Mutta onhan salasanalla suojattu avaimilla tehty autentikointi
Miten saan sen avaimen nettikioskin koneeseen?
Tosin harvassa on puttyᅵkᅵᅵn ...
--
@jhol
Eino Tuominen
> Eino Tuominen wrote:
>> Mutta onhan salasanalla suojattu avaimilla tehty autentikointi
>
> Miten saan sen avaimen nettikioskin koneeseen?
>
Ah, luin v��rin, ymm�rsin ettet voi laittaa avainta
kotikoneelle. Jos salasanoja on pakko noista paikoista
k�ytt��, niin silloin pit�isi k�ytt�� jotain
kertak�ytt�salasanasysteemi�.
Hmm, mitenk�h�n toimisi kertak�ytt�avaimet ssh:n kanssa...
--
Eino Tuominen
Jani Markkanen
> On 2010-01-04, Jani Markkanen <jani.ma...@iki.fi> wrote:
>> Itse en tosin keksi syyt� miksi rootin pit�isi p��st� salasanalla ssh:lla
>> sis��n. Oikein miettim�ll� keksin ylip��t��n syyn salasanan k�ytt��n.
>
> Jos pit�� saada tunneloitu X toimimaan muutaman hyppykoneen takaa ja sudo ei
> ole k�yt�ss�, niin tuo lienee ainoa tapa. Olen joutunut t�m�n vuoksi
> muutaman kerran enabloimaan root-loginin ssh:lla. T�m� siis sis�verkoissa ja
> v�liaikaisesti.
Jos sudoa ei tosiaan ole ja tarvitset asioita roottina tarvitset yleens� my�s
sen rootin salasanan sitten... Jos pysyt normaalik�ytt�j�n� koko matkan ei
hyppyjen m��r� vaikuta.
>> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
>> 10 vuoteen tarvinnut.
>
> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
> Ubuntujen suhteen.
Onko tuo version 2 ominaisuuksia? versiossa 1 viel� toimii ilmankin enk�
ole keksinyt tarvetta 2:n asennukseen. Tosin taisi l�yty� taas yksi syy
miksi ei kannata edes kokeilla...
Djp
Jani Markkanen
> Ei ole noin kauaa kun "home"n puuttuminen esti sis�llep��syn - home ei
> mounttaannu (syyst� tai toisesta), koneeseen ei p��se sis�lle. "Nyky��n"
> tuo on n��mm� korjattu. En muista k�yttist�, jokin Linux.
Koska tuo on konffauskysymys voi hyvinkin olla ett� joku on joskus
konffannut tahallaan noin lukemalla jonkun harding-howton ymm�rt�m�tt�
lukemaansa. Voi jopa olla ett� johonkin propellipipo jakeluun laitettu
oletukseksikin erikseen p��lle.
SLS:sta en muista, enk� ihan varmasti slackware 2.0-3.0 versioistakaan mutta
RH4.2 aalkaen olen kokolailla varma ett� sis��n on p��sty ilman kotihakemistoa.
Sen verran rupista ollut NFS-elo Linuxin kanssa ett� noihin tilanteisiin on
kyll� t�rm�tty.
Djp
Jani Markkanen
rsa-avaimenper� ja sill� eteenp�in...
itse autentikoinnin voit suorittaa mit� pulikkaa vasten
tahansa joka osaa vastata true / false kun arvot on
v�litetty sille.
Djp
Tapio Väättänen
> Jos sudoa ei tosiaan ole ja tarvitset asioita roottina tarvitset yleens� my�s
> sen rootin salasanan sitten... Jos pysyt normaalik�ytt�j�n� koko matkan ei
> hyppyjen m��r� vaikuta.
No mutta kun moni asennusohjelma haluaa olla nimeomaan root. J�ik� se
sinulle ep�selv�ksi? Jani hyv�, kun olet kerta ollut alalla 15 vuotiaasta,
niin kai t�m�n ymm�rr�t.
>>> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
>>> 10 vuoteen tarvinnut.
>>
>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
>> Ubuntujen suhteen.
>
> Onko tuo version 2 ominaisuuksia? versiossa 1 viel� toimii ilmankin enk�
> ole keksinyt tarvetta 2:n asennukseen. Tosin taisi l�yty� taas yksi syy
> miksi ei kannata edes kokeilla...
Nimenomaan versiossa 1 ei toiminut. Voit varmaan antaa ohjeet miten toimii
ilman. Ubutunssa. Kerro samalla miten 30 vuotiaalla on 15 vuoden kokemus
IT-alalta.
V�h�n viini� ja ruokaa ei vie meit� konkurssiin -- J.R. Ewing
Eino Tuominen
>
> rsa-avaimenper� ja sill� eteenp�in...
Toki, l�hinn� siis ajattelihin tuohon Joukon
tarkoittamaan kotikoneelle p��syyn. RSA:n
vehkeet on siihen tarkoitukseen turhan j�reit�.
--
Eino Tuominen
Jouko Holopainen
> Hmm, mitenkï¿œhï¿œn toimisi kertakï¿œyttï¿œavaimet ssh:n kanssa...
<http://www.cs.columbia.edu/~crf/crf-guide/resources/network/otp-ssh.html>
YMMV.
--
@jhol
Jani Markkanen
>> Jos sudoa ei tosiaan ole ja tarvitset asioita roottina tarvitset yleens� my�s
>> sen rootin salasanan sitten... Jos pysyt normaalik�ytt�j�n� koko matkan ei
>> hyppyjen m��r� vaikuta.
>
> No mutta kun moni asennusohjelma haluaa olla nimeomaan root. J�ik� se
> sinulle ep�selv�ksi? Jani hyv�, kun olet kerta ollut alalla 15 vuotiaasta,
> niin kai t�m�n ymm�rr�t.
Nyt siirtyi maali. �sken puhuit hypyist� ja x forwardista, nyt haluat
asentaa jotain. Ja kyll�, jos pit�� olla oikeasti root eik� sudoa ole,
pit�� k�ytt�� muuta keinoa ja tarvinnet salasanaakin. V�itink� miss� kohdassa
muuta tuossa yll�?
>>>> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
>>>> 10 vuoteen tarvinnut.
>>>
>>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>>> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
>>> Ubuntujen suhteen.
>>
>> Onko tuo version 2 ominaisuuksia? versiossa 1 viel� toimii ilmankin enk�
>> ole keksinyt tarvetta 2:n asennukseen. Tosin taisi l�yty� taas yksi syy
>> miksi ei kannata edes kokeilla...
>
> Nimenomaan versiossa 1 ei toiminut. Voit varmaan antaa ohjeet miten toimii
> ilman. Ubutunssa. Kerro samalla miten 30 vuotiaalla on 15 vuoden kokemus
> IT-alalta.
Toimii samalla tavalla Ubuntussa kuin muissakin jakeluissa, ellei olla
erikseen jotain rikottu. J�lkimm�iseen vastaan ett� menin t�ihin
Business Forumiin vuonna 1995 josta alkaen olenkin pysynyt ty�el�m�ss�.
Ennen tuota tein l�hinn� harrasteena REXX:illa yht� kulunvalvontaan
liittyv�� palikkaa josta jopa sain muutaman markan muiden mukana.
Haluatko tiet�� lis��?
Kertoisitko vastavuoroisesti sitten jotain itsest�si? Perinteisestih�n
vain tivaat muilta vastaukset suostumatta itse vastaamaan kuin
ymp�ripy�reit�.
Jani Markkanen
Luulin idean olevan ett� rootille pit�� ssh sallia, muttei ulkoverkosta.
Ulkoverkosta taas pit�isi p��st� muuten vain ssh:lla sis��n. Ehdotin jo
kerberosta, koska se nimenomaan toimisi noin. Ulkomaailmasta puuttuisi
tiketti eik� sis��n p��se edes oikealla salakalalla. Tosin, jos tuo
pamahtaa eip� p��se sis�verkostakaan, mutta atk:han ei hajoa...
Sami Ketola
> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
> Ubuntujen suhteen.
Minkᅵs salasanan nᅵmᅵ Ubuntut kysyvᅵt siinᅵ vaiheessa kun systeemi
ei buuttaa ja se pitᅵᅵ ajaa ylᅵs single-user modessa yllᅵpitotoimen-
piteitᅵ varten? ᅵlkᅵᅵ nyt vaan sanoko ettei mitᅵᅵn?
Sami
Jani Markkanen
> Tapio V��tt�nen <t...@iki.fi> wrote:
>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>> Ubuntujen suhteen.
>
> ei buuttaa ja se pit�� ajaa yl�s single-user modessa yll�pitotoimen-
> piteit� varten? �lk�� nyt vaan sanoko ettei mit��n?
Ihan pakko kysy�: mit� merkityst� tuolla on jos ollaan jo konsolilla?
Mutta, Ubuntu 9.10:ssa on suoran grubin valikossa erikseen jokaiselle
asennetulle kernelille Recovery mode jota k�ytt�m�ll� k�ynnistyy erillinen
menu, josta voi valita korjataanko paketteja, ehj�t��nk� grubia,
bootataanko normaalisti vai tiputetaanko root-shelliin (verkolla
tai ilman).
Koska on p��sy grubiin, voidaan rootin salasana-kysely ohittaa kuitenkin
komentamalla init=/bin/sh. Tietysti voidaan suojata sitten grub jollain
salasanalla, mutta t�m�(kin) on jo eriasia kuin root-salasana.
init-kikkailut, sielt� mounttaamiset jne voidaan my�s est�� kryptaamalla
levy, mutta tuohonkaan ei k�ytet� root-salakalaa.
Djp
Tapio Väättänen
> On 2010-01-04, Tapio V��tt�nen <t...@iki.fi> wrote:
>> On 2010-01-04, Jani Markkanen <jani.ma...@iki.fi> wrote:
>>> Jos sudoa ei tosiaan ole ja tarvitset asioita roottina tarvitset yleens� my�s
>>> sen rootin salasanan sitten... Jos pysyt normaalik�ytt�j�n� koko matkan ei
>>> hyppyjen m��r� vaikuta.
>>
>> No mutta kun moni asennusohjelma haluaa olla nimeomaan root. J�ik� se
>> sinulle ep�selv�ksi? Jani hyv�, kun olet kerta ollut alalla 15 vuotiaasta,
>> niin kai t�m�n ymm�rr�t.
>
> Nyt siirtyi maali. �sken puhuit hypyist� ja x forwardista, nyt haluat
> asentaa jotain.
Kyll�. Jotkut asennussoftat vaatii X:n. En ihmettele, ettet ole koskaan
t�llaisiin t�rm�nnyt. V�henee� esimerkkini todenmukaisuus jotenkin siit�,
ett� jotkut asennussoftat vaatii X:n?
> Ja kyll�, jos pit�� olla oikeasti root eik� sudoa ole,
> pit�� k�ytt�� muuta keinoa ja tarvinnet salasanaakin. V�itink� miss� kohdassa
> muuta tuossa yll�?
En v�itt�nyt ett� v�itit mit��n. Esitin vain esimerkin, jossa olen joutunut
enabloimaan rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk� vain kykene
uskomaan mit��n vastav�itteit� tai esimerkkej�.
>>>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>>>> Muutoin olen kyll� harkinnut kotikoneiden Ubuntoimista n�ilt� osin ei
>>>> Ubuntujen suhteen.
>
> Toimii samalla tavalla Ubuntussa kuin muissakin jakeluissa, ellei olla
> erikseen jotain rikottu.
Muissa jakeluissa logataan roottina sis��n, ja annetaan rootin salana. T�m�n
j�lkeen MUI:ssa on mukana koko toiminallisuus. Miten teet t�m�n Ubuntussa
enabloimatta salasanaa. Mill� tunnuksella saat koko toiminnallisuuden?
> Kertoisitko vastavuoroisesti sitten jotain itsest�si? Perinteisestih�n
> vain tivaat muilta vastaukset suostumatta itse vastaamaan kuin
> ymp�ripy�reit�.
Oma CV:ni l�ytyy kyll� verkosta. Muita samannimisi� henkil�it� ei ole
olemassa. Aloitin IT-alalla 24-vuotiaana. Ty�uraan
mahtuu yrityksi� kooltaan 30 - 400 000 henkil��. Yhteens� olen ollut
kahdeksan eri IT-alan yritt�j�n palveluksessa. Teen t�it� p��toimisesti
ulkoisille asiakkaille, kuten olen tehnyt l�hes koko IT-alan ty�urani.
T�n� vuonnan tulee 15 vuotta t�yteen alalla. T�t� ennen olen kes�isin
toiminut mm. palomiehen�, kansimiehen�, trukkikuskina, puutarhaty�ntekij�n�
ja varastomiehen�. Ensimm�inen kes�ty�paikkani oli HOP:lla ollessani
16-vuotias. T�m� oli vuonna 1987. Ensim�isen tietokoneeni sain 1982.
Tein t�lle basicilla h�lm�j� pelej�. Kone ja pelit on edelleen tallessa.
Riitt��k�?
"By the way, I was being sarcastic" -- Homer J. Simpson
Tapio Väättänen
>> VMware Serverin MUI vaati rootin salasanan. Joku muukin asia taisi olla.
>> Ubuntujen suhteen.
>
> ei buuttaa ja se pit�� ajaa yl�s single-user modessa yll�pitotoimen-
> piteit� varten? �lk�� nyt vaan sanoko ettei mit��n?
Enp� tied�. Ehk� t�ss� on yksi syy olla poistamatta sit� salasanaa.
The Internet is *full* - go away! -- Gert Doering
Jani Markkanen
>> Nyt siirtyi maali. �sken puhuit hypyist� ja x forwardista, nyt haluat
>> asentaa jotain.
>
> Kyll�. Jotkut asennussoftat vaatii X:n. En ihmettele, ettet ole koskaan
> t�llaisiin t�rm�nnyt. V�henee� esimerkkini todenmukaisuus jotenkin siit�,
> ett� jotkut asennussoftat vaatii X:n?
Ei v�hene. Ja mist� p��ttelet etten ole t�rm�nnyt. En vaan osannut
ennakoida sinun maalinsiirtoasi. Kun v�itin ettei rootin salasanaa tarvita
kotona, se v��ntyi yht'�kki� siihen ettei muka rootin tunnusta tarvita.
Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
laillista salasanaa.
> En v�itt�nyt ett� v�itit mit��n. Esitin vain esimerkin, jossa olen joutunut
> enabloimaan rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
> v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk� vain kykene
> uskomaan mit��n vastav�itteit� tai esimerkkej�.
Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
sudon pois. En vain ymm�rr� sit� miksi heiluttelet maalia ja yrit�t
saada minua todistamaan asioita joita en ole alunperin v�itt�nyt.
> [vuodatus]
> Riitt��k�?
Riitt��. Ja tarkensi monta asiaa .linuxin puolelta. Veikkaukseni siell� siis
osui kuin osuikin oikeaan.
Tapio Väättänen
>>> Nyt siirtyi maali. �sken puhuit hypyist� ja x forwardista, nyt haluat
>>> asentaa jotain.
>>
>> Kyll�. Jotkut asennussoftat vaatii X:n. En ihmettele, ettet ole koskaan
>> t�llaisiin t�rm�nnyt. V�henee� esimerkkini todenmukaisuus jotenkin siit�,
>> ett� jotkut asennussoftat vaatii X:n?
>
> Ei v�hene. Ja mist� p��ttelet etten ole t�rm�nnyt. En vaan osannut
> ennakoida sinun maalinsiirtoasi. Kun v�itin ettei rootin salasanaa tarvita
> kotona, se v��ntyi yht'�kki� siihen ettei muka rootin tunnusta tarvita.
Vastasin kysymykseesi: "Itse en tosin keksi syyt� miksi rootin pit�isi
p��st� salasanalla ssh:lla". T�ss� et puhunut mit��n kotikoneesta.
> Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
> laillista salasanaa.
T�m� on tarpeetonta ja huono asetus kaikille, koska jotkut voivat sen
salasanan asettaa, muttei v�ltt�m�tt� halua, ett� kukaan tulee roottina
sis�lle ssh:lla.
> Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
> on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
> sudon pois.
Sudo ei ole kaikkialla k�yt�ss�. Esimerkkini on oikeasta el�m�st�.
> En vain ymm�rr� sit� miksi heiluttelet maalia ja yrit�t
> saada minua todistamaan asioita joita en ole alunperin v�itt�nyt.
Mene viestiketjua taaksenp�in, ole hyv�. Sinulla oli kaksi maalia:
On 2010-01-04, Jani Markkanen <jani.ma...@iki.fi> wrote:
> Itse en tosin keksi syyt� miksi rootin pit�isi p��st� salasanalla ssh:lla
> sis��n. Oikein miettim�ll� keksin ylip��t��n syyn salasanan k�ytt��n.
T�h�n annoin esimerkin softan asennuksesta, joka nyt on sinusta maalin
siirtoa.
Toinen olettamasi oli:
On 2010-01-04, Jani Markkanen <jani.ma...@iki.fi> wrote:
> Kotikoneessa en keksi syyt� rootin salasanalle. Ainakaan itse ole yli
> 10 vuoteen tarvinnut.
T�h�n annoin esimerkin VMwaren MUI:sta, jonka k�sittelyn p��tit lopettaa,
kun et keksinytk��n vastav�itteit�.
> Riitt��. Ja tarkensi monta asiaa .linuxin puolelta. Veikkaukseni siell� siis
> osui kuin osuikin oikeaan.
Eli kun sinulle selvisi, ett� teen t�it� isoille kymmenien ja satojen
tuhansien henkil�iden yrityksille ja ty�skentelen yrityksess� jossa on
satoja tuhansia henkil�it�, niin p��telm�si ett� kokemukseni rajautuu
muutaman henkil�n yrityksiin on oikea? Vai mit� veikkausta tarkoitat.
Jani Markkanen
> Vastasin kysymykseesi: "Itse en tosin keksi syyt� miksi rootin pit�isi
> p��st� salasanalla ssh:lla". T�ss� et puhunut mit��n kotikoneesta.
En kyll� keksi oikein tarvetta yritysmaailmastakaan, kun jo avainpareilla
homma hoituu fiksummin kuin rootin omalla salasanalla. Jos siis puhutaan
nimenomaan ssh:lla teht�v�st� loginista.
Ja kyll�, tied�n ett� on olemassa huonosti rakennettuja ymp�rist�j�, sit�
ei tarvitse mainita. Koska asiat voisi tehd� niiss� paljon fiksummin,
niiss�k��n ei ole _tarvetta_. Pelk�st��n osaamattomuutta.
>> Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
>> laillista salasanaa.
>
> T�m� on tarpeetonta ja huono asetus kaikille, koska jotkut voivat sen
> salasanan asettaa, muttei v�ltt�m�tt� halua, ett� kukaan tulee roottina
> sis�lle ssh:lla.
Miten tuo esitt�m�ni vaikuttaa tuohon huonontavasti? Tosin, on jo k�ynyt
selv�ksi ettet oikein hallitse avainpareja. Jos taas sekoitat minun
ja Arin v�itteet siit� ett� Ubuntun oletus on hyv�, olen siit� Arin
kanssa eri mielt�. Jos osaa tehd� avaimet osaa my�s erikseen sallia
root-loginin.
>> Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
>> on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
>> sudon pois.
>
> Sudo ei ole kaikkialla k�yt�ss�. Esimerkkini on oikeasta el�m�st�.
Ei niin. My�sk��n varmuuskopioinnit ei ole kunnossa kaikista
t�rkeist� palvelimista. En silti v�itt�isi ett� t�m� on tie johon
pit�� pyrki�. Typeryyksi� tehd��n.
> T�h�n annoin esimerkin VMwaren MUI:sta, jonka k�sittelyn p��tit lopettaa,
> kun et keksinytk��n vastav�itteit�.
Jos huomaan v�ittelev�ni aiheesta idiootin kanssa, yrit�n varmistua ett�
toinen ei tee samoin. Siksi ajattelin lopettaa. Konsultointia ohjelmien
asennuksesta, k�ynnistyksest� ja Unix-koneiden yl�pidosta voin my�s
tarjota ty�ajallani. Suosittelisin sit� ainakin jostain hankkimaan jos
ihan oikeasti alalle oikeisiin yl�pito- tai kehityshommiin aiot.
> Eli kun sinulle selvisi, ett� teen t�it� isoille kymmenien ja satojen
> tuhansien henkil�iden yrityksille ja ty�skentelen yrityksess� jossa on
> satoja tuhansia henkil�it�, niin p��telm�si ett� kokemukseni rajautuu
> muutaman henkil�n yrityksiin on oikea? Vai mit� veikkausta tarkoitat.
T�ytt� ymm�rt�m�tt�myytt�. Jos tosissasi v�it�t ett� noissa isoissa
firmoissa kuka tahansa saa luoda tunnuksia kelle tahansa eik� ole
keskistetty� hallintaa millekk��n on se osoitus siit�. My�skin se,
ett� rootin salasana on se jota jaellaan kaikille kysyjille on
merkki siit�.
Ari Saastamoinen
> Jos pit�� saada tunneloitu X toimimaan muutaman hyppykoneen takaa ja sudo ei
> ole k�yt�ss�, niin tuo lienee ainoa tapa. Olen joutunut t�m�n vuoksi
> muutaman kerran enabloimaan root-loginin ssh:lla. T�m� siis sis�verkoissa ja
Eih�n toi skenaario root-loginia vaadi? Kyll� se su toimii
remotenakin, ja x-tunnelointi my�s su:n j�lkeen, kunhan xauthilla
laittaa oikeudet kuntoon ja asettaa $DISPLAY:n (Tai jos ei jaksa
xauthilla s��t��, niin sitten kopioi siviilimin�n kotihakemistosta
.Xauthorityn my�s rootille :)
Ari Saastamoinen
> Mink�s salasanan n�m� Ubuntut kysyv�t siin� vaiheessa kun systeemi
> ei buuttaa ja se pit�� ajaa yl�s single-user modessa yll�pitotoimen-
> piteit� varten? �lk�� nyt vaan sanoko ettei mit��n?
Jos kone p��st��n boottaamaan konsolilta, niin tuolla ei ihan oikeasti
ole mit��n merkityst�.
Jani Markkanen
> Tapio V��tt�nen <t...@iki.fi> writes:
>
>> Jos pit�� saada tunneloitu X toimimaan muutaman hyppykoneen takaa ja sudo ei
>> ole k�yt�ss�, niin tuo lienee ainoa tapa. Olen joutunut t�m�n vuoksi
>> muutaman kerran enabloimaan root-loginin ssh:lla. T�m� siis sis�verkoissa ja
>
> Eih�n toi skenaario root-loginia vaadi? Kyll� se su toimii
> remotenakin, ja x-tunnelointi my�s su:n j�lkeen, kunhan xauthilla
> laittaa oikeudet kuntoon ja asettaa $DISPLAY:n (Tai jos ei jaksa
> xauthilla s��t��, niin sitten kopioi siviilimin�n kotihakemistosta
> .Xauthorityn my�s rootille :)
Juurikin n�in. Samanlaisia operaatioita joutuu tekem��n jos on tottunut
kirjoittamaan "sudo su -" ett� operoi roottina. Opettaa liikaa v��ri�
tapoja...
sudllahan toi menis tosiaan ihan suoraan, mutta sit� ei saanut k�ytt��
koska se toimii ja on siihen suunniteltu.
Djp
Ari Saastamoinen
> Hmm, mitenk�h�n toimisi kertak�ytt�avaimet ssh:n kanssa...
Ihan hienosti. Duunissa meill� ssh kysyy sek� paikallisen salasanan
ett� OTP-tokenista otetun salasanan. (PS. Tiet��k� joku halvempaa
tokenia kuin RSA:n virallinen tai Zyxelin. Zyxelin tokeneita
kokeiltiin, mutta niist� yli puolet on hajonnut ensimm�isen vuoden
aikana ja noi RSA:t on liian kalliita muutaman henkil�n pikkufirmalle)
Tapio Väättänen
>> Vastasin kysymykseesi: "Itse en tosin keksi syyt� miksi rootin pit�isi
>> p��st� salasanalla ssh:lla". T�ss� et puhunut mit��n kotikoneesta.
>
> En kyll� keksi oikein tarvetta yritysmaailmastakaan, kun jo avainpareilla
> homma hoituu fiksummin kuin rootin omalla salasanalla. Jos siis puhutaan
> nimenomaan ssh:lla teht�v�st� loginista.
P��sitk� kuitenkin muuten jo kartalle siit�, mist� keskustelun avasit?
Vai siirreltiink� edelleen maalia? Min�h�n en v�itt�nyt mit��n, annoin vain
esimerkin, jossa itse olen joutunut enabloimaan rootin loggauksen
hetkellisesti salasanalla.
>>> Itsell�ni on muuten rootin login ssh:lla sallittu ilman ett� rootilla on
>>> laillista salasanaa.
>>
>> T�m� on tarpeetonta ja huono asetus kaikille, koska jotkut voivat sen
>> salasanan asettaa, muttei v�ltt�m�tt� halua, ett� kukaan tulee roottina
>> sis�lle ssh:lla.
>
> Miten tuo esitt�m�ni vaikuttaa tuohon huonontavasti? Tosin, on jo k�ynyt
> selv�ksi ettet oikein hallitse avainpareja.
Ok, luin rivien v�list� v��rin.
>>> Esimerkkisi ei ole virheellinen. Sen voi tehd� juuri noin. Ja itseasiassa
>>> on jopa ainoa fiksu vaihtoehto sen j�lkeen kun p��tit keskenkaiken rajata
>>> sudon pois.
>>
>> Sudo ei ole kaikkialla k�yt�ss�. Esimerkkini on oikeasta el�m�st�.
>
> Ei niin. My�sk��n varmuuskopioinnit ei ole kunnossa kaikista
> t�rkeist� palvelimista. En silti v�itt�isi ett� t�m� on tie johon
> pit�� pyrki�. Typeryyksi� tehd��n.
En ole ottanut kantaa esimerkkiymp�rist�ni j�rkevyyteen. Annoin sinulle
esimerkin todellisesta el�m�st�. Yrit�t nyt kiemurrella t�st� irti, kun et
muuta osaa.
>> T�h�n annoin esimerkin VMwaren MUI:sta, jonka k�sittelyn p��tit lopettaa,
>> kun et keksinytk��n vastav�itteit�.
>
> Jos huomaan v�ittelev�ni aiheesta idiootin kanssa, yrit�n varmistua ett�
> toinen ei tee samoin. Siksi ajattelin lopettaa. Konsultointia ohjelmien
> asennuksesta, k�ynnistyksest� ja Unix-koneiden yl�pidosta voin my�s
> tarjota ty�ajallani. Suosittelisin sit� ainakin jostain hankkimaan jos
> ihan oikeasti alalle oikeisiin yl�pito- tai kehityshommiin aiot.
Et siis osaa kertoa miten VMware Serverin MUI:hin logataan roottina
ja saadaan t�ysi toiminallisuus. Vinkki: MUI on se web-pohjainen
hallintaty�kalu. Siihen logataan selaimella root-tunnuksilla, jotta
saadaan kaikki ominaisuudet k�ytt��n. Siihen voi Ubuntussakin logata
admin-ryhm��n kuuluvilla tunnuksilla, mutta t�ll�in kaikki ominaisuudet ei
ole k�yt�ss�. Jos rootilla ei ole salasanaa, sinne ei voi logata roottina.
Sin� tietysi menisit sis��n sudolla, kun et tied� mist� puhutaan.
Minulle selvisi kyll� jo ihan alussa, ett� et tied� mist� v�ittelet,
mutta kunhan v�ittelet, kun et koskaan pysty tunnustamaan olevasi
v��r�ss� miss��n, vaikka v��r�ss�olosi tiet�� naapurin kissakin.
> T�ytt� ymm�rt�m�tt�myytt�. Jos tosissasi v�it�t ett� noissa isoissa
> firmoissa kuka tahansa saa luoda tunnuksia kelle tahansa eik� ole
> keskistetty� hallintaa millekk��n on se osoitus siit�. My�skin se,
> ett� rootin salasana on se jota jaellaan kaikille kysyjille on
> merkki siit�.
En ole v�itt�nyt mit��n mit� yll� esit�t. Kerrotko viel� mik� se arvauksesi
oli joka meni oikeaan?
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Tapio Väättänen
> remotenakin, ja x-tunnelointi my�s su:n j�lkeen, kunhan xauthilla
> laittaa oikeudet kuntoon ja asettaa $DISPLAY:n (Tai jos ei jaksa
> xauthilla s��t��, niin sitten kopioi siviilimin�n kotihakemistosta
> .Xauthorityn my�s rootille :)
Mutta kun se X:n pit�� menn� samassa tunnelissa. V�liss� oli useampi
hyppykone. Yritin kyll� asettaa DISPLAY:ta, siksi, mik� ssh:lta tuli su:n
j�lkeen, mutta kun ei toiminut mill��n muulla tavalla. En v�it�, etteik�
joku muu tapa olisi, mutta tuolloin en saanut mit��n muuta tapaa toimimaan.
The Internet is *full* - go away! -- Gert Doering
Tapio Väättänen
> kirjoittamaan "sudo su -" ett� operoi roottina. Opettaa liikaa v��ri�
> tapoja...
Kyll� n�it� j�lkiviisaita l�ytyy, jotka ei ole koskaan paikalla kun itse
ongelma on akuutti. Mik��n esitetty vaihtoehtoinen ratkaisutapa ei toiminut.
Yritettiin kyll�.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
Jani Markkanen
>> Ei niin. My�sk��n varmuuskopioinnit ei ole kunnossa kaikista
>> t�rkeist� palvelimista. En silti v�itt�isi ett� t�m� on tie johon
>> pit�� pyrki�. Typeryyksi� tehd��n.
>
> En ole ottanut kantaa esimerkkiymp�rist�ni j�rkevyyteen. Annoin sinulle
> esimerkin todellisesta el�m�st�. Yrit�t nyt kiemurrella t�st� irti, kun et
> muuta osaa.
En mielest�ni ole kiemurtelemassa irti. Olen sanonut ettei ole tarvetta ja
olen yh� edelleen sit� mielt�. Sin� olet kertonut ett� on olemassa huonosti
hoidettuja ymp�rist�j� joita et osaa korjata ja siksi mielest�si on tarve
tehd� asioita edelleen huonosti. Minun mielest�ni se tarve olisi ymp�rist�n
korjaaminen jotta asiat voisi tehd� fiksummin.
> Et siis osaa kertoa miten VMware Serverin MUI:hin logataan roottina
> ja saadaan t�ysi toiminallisuus. Vinkki: MUI on se web-pohjainen
> hallintaty�kalu.
Kyse ei ole varsinaisesti MUI:sta. Samat ongelmat tulee vastaan my�s
vmware server consolella. Kun korjaat oikeudet resursseihin molemmat
toimivat.
> Minulle selvisi kyll� jo ihan alussa, ett� et tied� mist� v�ittelet,
> mutta kunhan v�ittelet, kun et koskaan pysty tunnustamaan olevasi
> v��r�ss� miss��n, vaikka v��r�ss�olosi tiet�� naapurin kissakin.
Tunnustan kyll� ett� pystyn olemaan v��r�ss�. Usein olenkin ja siksi
korjaan toimintatapojakin. Siksi aikanaan lopetin "sudo su -" k�yt�nkin.
Samasta syyst� vaihdoin Debianista takaisin Red Hatiin vuosia sitten
vaikka v�itin sit� paremmaksi. Sen sijaan t�ss� keskustelussa ei ole
viel� kerrottu miss� olisin v��r�ss�. On vaan esitetty ett� on olemassa
huonosti hoidettu ymp�rist�j� joissa on muka kielletty toimimasta
fiksusti. En v�it� ettei n�it� ymp�rist�j� olisi. V�it�n ett� niiss�
saataisiin helposti huomattavasti paremmat toimintamallit. T�m� taas
tuntuu olevan asia jota sin� et ymm�rr�, vaan otat kokoajan lis��
esimerkkej� siit� kuinka ymp�rist� on huonosti hoidettu.
>> T�ytt� ymm�rt�m�tt�myytt�. Jos tosissasi v�it�t ett� noissa isoissa
>> firmoissa kuka tahansa saa luoda tunnuksia kelle tahansa eik� ole
>> keskistetty� hallintaa millekk��n on se osoitus siit�. My�skin se,
>> ett� rootin salasana on se jota jaellaan kaikille kysyjille on
>> merkki siit�.
>
> En ole v�itt�nyt mit��n mit� yll� esit�t. Kerrotko viel� mik� se arvauksesi
> oli joka meni oikeaan?
Ymm�rt�m�tt�myytesi joka johtuu kokemattomuudestasi. Kuten ylt� voi
p��tell�.
Jani Markkanen
> On 2010-01-05, Jani Markkanen <jani.ma...@iki.fi> wrote:
>> Juurikin n�in. Samanlaisia operaatioita joutuu tekem��n jos on tottunut
>> kirjoittamaan "sudo su -" ett� operoi roottina. Opettaa liikaa v��ri�
>> tapoja...
>
> Kyll� n�it� j�lkiviisaita l�ytyy, jotka ei ole koskaan paikalla kun itse
> ongelma on akuutti. Mik��n esitetty vaihtoehtoinen ratkaisutapa ei toiminut.
> Yritettiin kyll�.
Joo. Tuota voi tosiaan hankaloittaa oleellisesti kielt�m�ll� X forwardin joko
konffissa tai avaimissa. Tosin, noita k�ytt�m�ll� ei suora ssh-login
roottinakaan auttaisi p�tk�n vertaa ellei mihink��n muuhunkaan saa koskea.
Ja j�lkiviisaana on tosiaan helppo olla. Selvisik� tuo koskaan vai jaksoiko
kukaan edes selvitt��? Itselleni tulisi mieleen jossain hypyss� hajoava
user-profiili joka est�� xauthin toiminnan ja joka sitten rootilla toimis.
Esim, kotihakemistossa v��rill� oikeuksissa ko. filetto tai muu vastaava
syy.
Tapio Väättänen
> hoidettuja ymp�rist�j� joita et osaa korjata ja siksi mielest�si on tarve
> tehd� asioita edelleen huonosti.
Oletat aina, ett� minulla olisi joku valtuus korjata huonosti konfiguroituja
ymp�rist�j�. Kun ei ole. Jos olisi, niin neh�n ei olisi huonosti
konfiguroituja. Sinulla ei ilmeisesti ole t�llaisista tilanteista kokemusta,
koska sinulla ei ylip��ns� ole riitt�v�sti kokemusta.
> Kyse ei ole varsinaisesti MUI:sta. Samat ongelmat tulee vastaan my�s
> vmware server consolella. Kun korjaat oikeudet resursseihin molemmat
> toimivat.
Kyll� kyse on todellakin vain ja ainoastaan MUI:sta. vmware-consolella ei
ole mit��n ongelmia ilman root tunnusta. Kaikki tarvittavat oikeudet on.
> Ymm�rt�m�tt�myytesi joka johtuu kokemattomuudestasi. Kuten ylt� voi
> p��tell�.
Minulla lienee kuitenkin _huomattavasti_ enemm�n kokemusta kuin sinulla. Mit�
se kertoo sinun ymm�rt�m�tt�myydest�si?
V�h�n viini� ja ruokaa ei vie meit� konkurssiin -- J.R. Ewing
Tapio Väättänen
> Joo. Tuota voi tosiaan hankaloittaa oleellisesti kielt�m�ll� X forwardin joko
> konffissa tai avaimissa.
X-forward oli enabloitu, eih�n root-loginin enablointi olisi muuten
riitt�nyt.
> Ja j�lkiviisaana on tosiaan helppo olla. Selvisik� tuo koskaan vai jaksoiko
> kukaan edes selvitt��?
Joskus on parempi keksi� kiertotie ja menn� eteenp�in sen sijaan ett�
kuluttaa jonkun rahoja keksim�ll� elegantimpaa mutta ongelman suhteen
merkitykset�nt� ratkaisua. Tuolloin se oli hetkellinen muutos sshd:n
konffiin. Aika harva softa lopulta vaatii X:n. Yleens� n�m�kin voi tehd�
silent-optiolla, mutta ei t�ll�in.
"By the way, I was being sarcastic" -- Homer J. Simpson
Jani Markkanen
> ymp�rist�j�.
En oleta. Mutta, oletan ett� saat ajaa haluamasi komennon asian korjaamiseksi.
Jos et saa, vaan pit�� aina ajaa sama ylh��lt� m��r�tty komento, asia olisi
varmasti automatisoitu.
>> Kyse ei ole varsinaisesti MUI:sta. Samat ongelmat tulee vastaan my�s
>> vmware server consolella. Kun korjaat oikeudet resursseihin molemmat
>> toimivat.
>
> Kyll� kyse on todellakin vain ja ainoastaan MUI:sta. vmware-consolella ei
> ole mit��n ongelmia ilman root tunnusta. Kaikki tarvittavat oikeudet on.
T�m� alkoi k�yd� oikeasti mielenkiintoiseksi. Mik� on vmwaren tarkka
versio ja miss� jakelussa sit� ajat? Sain tuon meinaan toimimaan
omassa koneessani (slave.djp.fi) jossa on RHEL4 ja alunperin vmware
server 1.0.3 ja siit� suora p�ivitys 1.0.10.
Tuo on rakennettu joskus kun 1.0.3 on asennettu ja jos tarpeeksi alkaa
kiinnostamaan voisi tuon asentaa puhtaana jonnekkin, heitt�� virtuaali-
koneet sinne ja katsoa mit� kaikkea koskin.
>> Ymm�rt�m�tt�myytesi joka johtuu kokemattomuudestasi. Kuten ylt� voi
>> p��tell�.
>
> Minulla lienee kuitenkin _huomattavasti_ enemm�n kokemusta kuin sinulla. Mit�
> se kertoo sinun ymm�rt�m�tt�myydest�si?
Voisit siis osoittaa t�t� huomattavaa kokemustasi jossain vaiheessa etk�
vain trollata?
Jani Markkanen
>> Joo. Tuota voi tosiaan hankaloittaa oleellisesti kielt�m�ll� X forwardin joko
>> konffissa tai avaimissa.
>
> X-forward oli enabloitu, eih�n root-loginin enablointi olisi muuten
> riitt�nyt.
T�m�nh�n jo j�tit lainaamattakin...
>> Ja j�lkiviisaana on tosiaan helppo olla. Selvisik� tuo koskaan vai jaksoiko
>> kukaan edes selvitt��?
>
> Joskus on parempi keksi� kiertotie ja menn� eteenp�in sen sijaan ett�
> kuluttaa jonkun rahoja keksim�ll� elegantimpaa mutta ongelman suhteen
> merkitykset�nt� ratkaisua. Tuolloin se oli hetkellinen muutos sshd:n
> konffiin. Aika harva softa lopulta vaatii X:n. Yleens� n�m�kin voi tehd�
> silent-optiolla, mutta ei t�ll�in.
Kyll�. Etenkin asiakkaalla ollessa on hyv� tehd� v�liaikainen (esim.
juuri asennuksen aikainen) ratkaisu. Sen sijaan yleens� on hyv�
selvitt�� mist� ongelma johtui, sill� yleens� ongelmat eiv�t j��
ainutkertaisiksi vaan niill� on tapana toistua.
Tapio Väättänen
> Jos et saa, vaan pit�� aina ajaa sama ylh��lt� m��r�tty komento, asia olisi
> varmasti automatisoitu.
Mutta enh�n min� usein ole kuin k�ym�ss�. Ei minulla ole mit��n oikeuksia
tehd� muutoksia systeemin. Monesti pienetkin muutokset ovat prosessin
takana, joka kest�� arviolta kolme viikkoa ja jonka tekee joku jossain
halvan ty�voiman maassa.
> T�m� alkoi k�yd� oikeasti mielenkiintoiseksi. Mik� on vmwaren tarkka
> versio ja miss� jakelussa sit� ajat? Sain tuon meinaan toimimaan
> omassa koneessani (slave.djp.fi) jossa on RHEL4 ja alunperin vmware
> server 1.0.3 ja siit� suora p�ivitys 1.0.10.
Aloin nyt itsekin tutkimaan t�t�, koska dumppasin lopulta koko MUI:n
nevadaan siirtyess�ni 64-bittiseen rautaan ja k�yttikseen. MUI ei asentunut.
No, asensin sen nyt puukottamalla asennusskripti�. Jostain syyst� 1.0.7 ei
asennu, jos '$vmware_version ne "vserver"', joten muutin
'$vmware_version eq "vserver"'. init-skripti taas vaatii muutoksen
"#!/bin/sh" --> "#!/bin/bash". T�m�n lis�ksi aiempi versio sekoili
/var/run:n kanssa. T�m� tuntuu toimivan pinosta tuon osalta.
Minulla on 1.0.7, johon on ajettu p�tsi jolla sain langattoman verkon
siltauksen toimimaan. T�m�n vuoksi en aio koskaan p�ivitt�� :) Po. 2.x
toimii muutoin hyvin, mutta minulla ei ole iloa p�ivitt�� p�ivitt�misen
ilosta.
Kun menen normaali-tunnuksella sis��n, ja yrit�n menn� options-valikoon,
saan:
Kun menen roottina (t�m�n vuoksi siis enabloin rootin salasanan taas kerran
uudelleen):
Tuolta k�sin voi esimerkiksi m��ritell� virtuaalikoneiden
buuttaus-j�rjestyksen. Nyt kun sitten testaan vmware-server-console:lla, niin
en l�yd� normaalik�ytt�j�n� mist��n, miss� vastaava konffis tehd��n�, mutta
p��sen kyll� k�siksi hostin konffikseen. Roottina ei mit��n eroa t�h�n.
Eli consolella n�ytt�isi silt�, ett� p��sen sek� normaalina luuserina
tekem��n t�sm�lleen samat asiat kuin roottina, mutta MUI:ssa tilanne ei
olekaan sama. consolella molemmille avautuu "Edit host settings" samoin
oikeuksin ja optioin, mutta MUI:ssa options ainoastaan rootille.
Mutta tuon buuttaus-j�rjestyksen vuoksi halusin aikanaan MUI:n, tai ainakin
siihen sit� k�ytin. Minulla on nimitt�in reititys virtuaalikoneen kautta,
joten haluan ett� se nousee bootissa ensimm�isen� yl�s. Ja siis en
todellakaan ole keksinyt muuta tapaa, kuin enabloida rootin salasana. Jos
muu tapa on, niin kuulen mielell�ni. T�m� on siis yksi ja ainoa syy, miksi
itse olen enabloinut rootin salasanan Ubuntussa, jos homma toimii ilman,
niin sitten _minulla_ ei ole ainuttakaan syyt� enabloida rootin salasanaa.
Tai ei ole nytk��n, jos en halua muuttaa bootti-j�rjestyst�.
> Voisit siis osoittaa t�t� huomattavaa kokemustasi jossain vaiheessa etk�
> vain trollata?
En min� kyll� .linuxissa tarkoituksellisesti trollaa. Olen ihan oikeasti
sanojeni takana. Ymm�rr�n, ett� joku muu voi olla eri mielt�, ja ymm�rr�n
toki, ett� ainoaa oikeaa totuutta ei ole. Olen jopa joskus vaihtanut
mielipidett�ni.
�) Eik� sill� sin�ns� v�li�, koska tarvetta muutokselle ei ole.
"By the way, I was being sarcastic" -- Homer J. Simpson
Jani Markkanen
>> En oleta. Mutta, oletan ett� saat ajaa haluamasi komennon asian korjaamiseksi.
>> Jos et saa, vaan pit�� aina ajaa sama ylh��lt� m��r�tty komento, asia olisi
>> varmasti automatisoitu.
>
> Mutta enh�n min� usein ole kuin k�ym�ss�. Ei minulla ole mit��n oikeuksia
> tehd� muutoksia systeemin. Monesti pienetkin muutokset ovat prosessin
> takana, joka kest�� arviolta kolme viikkoa ja jonka tekee joku jossain
> halvan ty�voiman maassa.
T�ss� on kierretty keh��. Hieman juuri t�m�n kaltaisten asioiden takia
pyrin roudaamaan omaa ymp�rist�� mukana, koska juurikaan siihen alkuper�iseen
ei ole oikeuksia. Ja lukuunottamatta aivan pienimpi� nyrkkipajoja on aina
l�hdetty siit� ett� hommiin luovitetaan oma tunnus josta sudotetaan, eik�
annettu edes v�liaikaista root-salasanaa.
Eri asia on kokonaan asiakasyritykset joiden yll�pito on otettu omaan haltuun.
Niiss� tosin on yleens� tehty integroinnit niin ett� tieto tuodaan jostain
ulkopuolelta (henkil�st�-, laite- ja toimittajarekistereist�) josta
erikseen koostetaan esim X.500 hakemisto josta sitten tehd��n hakuja
eri tarkoituksiin. Ideana kaikissa, ett� tietoa k�sitell��n vain
yhdess� paikassa. Oikeilla riippuvuuksilla voidaan k�yt�nn�ss� sanoa
ett� toimittajan a ty�ntekij�ill� b ja c on oikeudet koneryhmiin d ja e
joissa on liuta koneita. Lis�ksi voi olla my�s muita attribuutteja
jotka sitten rajaavat toisilla s��nn�ill� oikeuksia. Erityisesti
kannattaa huomata, ettei t�m� ota kantaa k�yttisperheeseen vaan
Linux-frontendien lis�ksi voi taustalla olla esim MS SQL Server
jonka tiettyyn instanssiin tulee oikeudet samalla...
Kun tieto on vain yhdess� paikassa josta se yksisuuntaista
putke pitkin tuodaan k�yt�kohteeseen, on auditointi poikkeus-
tilanteissa aika paljon helpompaa verrattuna siihen ett� yll�pit�j�t
k�sin lis�isee tunnuksia ja muuttelee rootin salasanoja erikseen
kullekkin toimittajalle eri kohteisiin.
Esim. Landeskin tuotteilla t�m�nkaltaiset asiat on kohtuullisen
helppoa liimata. Ja koska suuri osa j�rjestelm�n konffeista valuu
ylh��lt�, tuodaan se oma ymp�rist� niin l�helle kuin suinkin.
Ymm�rr�n kyll� vastakkaisetkin n�k�kannat. Kuulen niit� viikottain
paikallisilta yll�pit�jilt�. Kunnes ne huomaavat ett� kappas, asiathan
nyt sujuukin paljon n�pp�r�mmin kun otettiin pari p�iv�� koulutusta...
Djp
jarmo
> Miten saan sen avaimen nettikioskin koneeseen?
>
> Tosin harvassa on puttyäkään ...
>
Hee, jos sinulla on stidi, niin pasalusta vaan
jarmo
> On 2010-01-05, Jani Markkanen <jani.ma...@iki.fi>
> arvauksesi oli joka meni oikeaan?
>
Hei, älkää lopettako missään nimessä. Sen jälkeen ku XCOPY
loppu, niin ei ole ollut näin hauskaa...
Tapio Väättänen
> Tapio V��tt�nen wrote:
>
>> On 2010-01-05, Jani Markkanen <jani.ma...@iki.fi>
>> arvauksesi oli joka meni oikeaan?
>>
> loppu, niin ei ole ollut n�in hauskaa...
Onhan.
"You cannot be too rich, too thin, or commit too often." -- Mark A.
Jani Markkanen
>> Tapio V��tt�nen wrote:
>>
>>> On 2010-01-05, Jani Markkanen <jani.ma...@iki.fi>
>>> arvauksesi oli joka meni oikeaan?
>>>
>> Hei, �lk�� lopettako miss��n nimess�. Sen j�lkeen ku XCOPY
>> loppu, niin ei ole ollut n�in hauskaa...
>
> Onhan.
Eip�s. :)
Jouko Holopainen
> Jouko Holopainen wrote:
>
>> Miten saan sen avaimen nettikioskin koneeseen?
> Hee, jos sinulla on stidi, niin pasalusta vaan
> http://portableapps.com/
1) Miten saan tuon fyysisesti kiinni nettikioskin koneeseen, ja
2) miten saan nettikioskin virustorjunnan uskomaan, ettᅵ tikulta saa
ajaa ihan mitᅵ sattuu?
--
@jhol
Jani Markkanen
> jarmo wrote:
>> Jouko Holopainen wrote:
>>
>>> Miten saan sen avaimen nettikioskin koneeseen?
>
>> Hee, jos sinulla on stidi, niin pasalusta vaan
>> http://portableapps.com/
>
> 1) Miten saan tuon fyysisesti kiinni nettikioskin koneeseen, ja
> ajaa ihan mit� sattuu?
T�m� alkaa olla jo kaukaa haettua, mutta noita yksinkertaisia kertak�ytt�-
salasanajuttuja wepisivuille on pilvin pimein. Sitten vaan NX ja siihen
wepi-interface eteen. teet eteen klunssin josta p��see ohi kertiksell�
joka tas avaa palomuuriin (tai tcp-wrapperin kautta) reij�n sille IP:lle
ja p��set sielt� hakemaan sen clientin jolle normaali salakala. Jos
joku onkii sen kertiksen se ei tee mit��n sill� ja jos on joku
muistelee salasanasi ja osaa ottaa yhteytt� suoraan clientill� on
reik� ummessa (heti ekan oikean loginin ja 2min kertak�ytt�-
loginin j�lkeen). Alle puolentunnin konffaus.
Jouko Holopainen
> Tᅵmᅵ alkaa olla jo kaukaa haettua, mutta noita yksinkertaisia kertakᅵyttᅵ-
> salasanajuttuja wepisivuille on pilvin pimein. Sitten vaan NX ja siihen
> joka tas avaa palomuuriin (tai tcp-wrapperin kautta) reijï¿œn sille IP:lle
> ja pᅵᅵset sieltᅵ hakemaan sen clientin jolle normaali salakala. Jos
> joku onkii sen kertiksen se ei tee mitᅵᅵn sillᅵ ja jos on joku
> muistelee salasanasi ja osaa ottaa yhteyttᅵ suoraan clientillᅵ on
> reikᅵ ummessa (heti ekan oikean loginin ja 2min kertakᅵyttᅵ-
> loginin jï¿œlkeen). Alle puolentunnin konffaus.
/etc/ssh/sshd_conf:
PasswordAuthentication no
...
AllowUsers lokaalisti...@10.10.10.0/16 etᅵᅵkᅵytettᅵvᅵ
$ su etᅵᅵkᅵytettᅵvᅵ
$ otpw-gen | lpr
Kymmenen minuuttia (otpw pitᅵᅵ asentaa erikseen Ubuntussa).
--
@jhol
Eino Tuominen
>
> En v�itt�nyt ett� v�itit mit��n. Esitin vain esimerkin, jossa olen joutunut
> enabloimaan rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
> v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk� vain kykene
> uskomaan mit��n vastav�itteit� tai esimerkkej�.
Kyll�h�n tuo onnistuu su:lla ja xauthillakin sek�
DISPLAY-ymp�rist�muuttujan s��t�misell�. Ennenvanhaan
tuota tarvittiin kun oli vain telnetit ilman sudoja.
Nyt ssh ja sudo hoitaa kaikki valmiiseen p�yt��n.
Toki siis root (tai mit� uid 0 -tunnusta nyt haluaakin
k�ytt��) tarvitsee salasanan, mutta ssh-loginia sille
ei tarvitse sallia. Toki mun mielest�ni on useimmissa
tapauksissa helpompi sallia se ssh-logini, ja k�yt�nn�ss�
tuo on ihan yht� turvallinen jos rootin salasana vain
on kunnollinen.
--
Eino Tuominen
Jani Markkanen
> Toki siis root (tai mit� uid 0 -tunnusta nyt haluaakin
> k�ytt��) tarvitsee salasanan, mutta ssh-loginia sille
> ei tarvitse sallia. Toki mun mielest�ni on useimmissa
> tapauksissa helpompi sallia se ssh-logini, ja k�yt�nn�ss�
> tuo on ihan yht� turvallinen jos rootin salasana vain
> on kunnollinen.
Kertoisitko oman esimerkkisi tarpeesta jossa root tarvitsee
loginin. Siis salasanan kanssa. Etenkin kun jo hylk�sit
annetun esimerkin.
Sellaisen esimerkin ettei asiaa voi hoitaa ilman v�hint��n
yht� tietoturvallisesti.
Djp
Eino Tuominen
> On 2010-01-05, Eino Tuominen <eino...@utu.fi> wrote:
>> Toki siis root (tai mit� uid 0 -tunnusta nyt haluaakin
>> k�ytt��) tarvitsee salasanan, mutta ssh-loginia sille
>> ei tarvitse sallia. Toki mun mielest�ni on useimmissa
>> tapauksissa helpompi sallia se ssh-logini, ja k�yt�nn�ss�
>> tuo on ihan yht� turvallinen jos rootin salasana vain
>> on kunnollinen.
>
> Kertoisitko oman esimerkkisi tarpeesta jossa root tarvitsee
> loginin. Siis salasanan kanssa. Etenkin kun jo hylk�sit
H�h? Leikkasitko tahallaan pois kontekstin, jotta p��sit
hakkaamaan olkinukkea? "Toki siis root tarvitsee salasanan"
viittasi vain siihen ett� p��see su-komennolla rootiksi,
tilanteessa jossa sudoa ei ole k�yt�ss�. Syyt� sudon
poissaoloon sinun t�ytyy kysy� joltain toiselta, min� en
sit� keksinyt.
--
Eino Tuominen
Tapio Väättänen
> DISPLAY-ymp�rist�muuttujan s��t�misell�.
No ei se kyll� onnistu, kun v�liss� on useampi hyppykone ja se kone, jossa
DISPLAY asetettaisiin, ei todellakaan p��se ty�aseman n�yt�lle mill��n
ilveell�. Ty�asema ja palvelin oli siis t�ysin eri verkossa, eik� n�iden
v�lill� ollut reitityst�. Eli X:n on kuljettava sen tunnelin kautta.
"Relational people do it on tables!" -- Timon kommentti tietoviikon
artikkeliin "Miksi tietokanta ei ole en�� seksik�s?"
Tapio Väättänen
Ei sudoa jostain syyst� vaan suostuta asentamaan joka paikkaan. T�ytyy nyt
muistaa, ett� t�nnekin ryhm��n kirjoittelee muutama henkil�, joiden mukaan
sudo itsess��n on tietoturvariski.
Jouko Holopainen
> /etc/ssh/sshd_conf:
> PasswordAuthentication no
> ...
> AllowUsers lokaalisti...@10.10.10.0/16 etᅵᅵkᅵytettᅵvᅵ
>
> $ su etᅵᅵkᅵytettᅵvᅵ
> $ otpw-gen | lpr
>
> Kymmenen minuuttia (otpw pitᅵᅵ asentaa erikseen Ubuntussa).
Vitut.
EVO, mutta eipᅵ pam yritᅵkkᅵᅵn kᅵyttᅵᅵ pam_otpw.so:ta.
Se siitᅵ 10 minuutista, katsotaan onnistuuko 10 tunnissa ...
--
@jhol
Eino Tuominen
>> Kyll�h�n tuo onnistuu su:lla ja xauthillakin sek�
>> DISPLAY-ymp�rist�muuttujan s��t�misell�.
>
> No ei se kyll� onnistu, kun v�liss� on useampi hyppykone ja se kone, jossa
> DISPLAY asetettaisiin, ei todellakaan p��se ty�aseman n�yt�lle mill��n
No laitat sen DISPLAY:n samaksi kuin mit� sill� viimeiselle
k�ytt�j�ll� joka antaa sen su-komennon. Eli localhost:jotain.
Ja xauthilla kurkit salaiset asiat ja laitat rootille samat
samat sis��n. Tai sitten kopioit roottina sen k�yttj�n
.Xauthority -tiedoston paikalleen, jos vain yksi root
kerrallaan tarvitsee tuota. En m� oikein ymm�rr� miksei toimisi.
Kokeillaanpa. Menin ensin kahden koneen l�pi (ihan saman voi
tehd� yhdell�kin, mutta kun nyt annoit tuon ehdon). Sitten:
$ echo $DISPLAY
localhost:13.0
$ xauth extract /tmp/foo `uname -n`/unix:13
$ su -
# xauth merge /tmp/foo
# DISPLAY=localhost:13.0
# export DISPLAY
# xterm
ja pam, aukes l�pp�rin ruudulla xterm.
> ilveell�. Ty�asema ja palvelin oli siis t�ysin eri verkossa, eik� n�iden
> v�lill� ollut reitityst�. Eli X:n on kuljettava sen tunnelin kautta.
No k�yt� sitten sit� tunnelia, kun sen olet rakentanut. Tietysti
tuo edellytt��, ett� X11Forwarding on p��ll� joka sshd:ss� tuossa
matkan varrella.
--
Eino Tuominen
Tapio Väättänen
> No laitat sen DISPLAY:n samaksi kuin mit� sill� viimeiselle
> k�ytt�j�ll� joka antaa sen su-komennon. Eli localhost:jotain.
> Ja xauthilla kurkit salaiset asiat ja laitat rootille samat
> samat sis��n.
T�t�kin kokeiltiin, mutta ei suoraan toiminut. Kuten todettu, hyppykoneita
oli useampi kuin yksi, ja se miss� meni pieleen j�i ep�selv�ksi. Minusta tuo
sinun ratkaisu ei toisekeseen ole edes mitenk��n elegantimpi kuin omani.
Kaiken lis�ksi se on jonkin verran ty�l��mpi, mutta mik�s siin�, jos on
aikaa s��t��.
"Sinulla on sitten aika omituisia mielipiteit�."
Jukka Pakkanen 15.10.2009 sfnet.keskustelu.laki
Eino Tuominen
>> No laitat sen DISPLAY:n samaksi kuin mit� sill� viimeiselle
>> k�ytt�j�ll� joka antaa sen su-komennon. Eli localhost:jotain.
>> Ja xauthilla kurkit salaiset asiat ja laitat rootille samat
>> samat sis��n.
>
> T�t�kin kokeiltiin, mutta ei suoraan toiminut. Kuten todettu, hyppykoneita
> oli useampi kuin yksi, ja se miss� meni pieleen j�i ep�selv�ksi. Minusta tuo
Ei hyppykoneiden m��r�ll� ole mit��n v�li�, jos vaan se X11-
menee niist� kaikista l�pi.
> sinun ratkaisu ei toisekeseen ole edes mitenk��n elegantimpi kuin omani.
> Kaiken lis�ksi se on jonkin verran ty�l��mpi, mutta mik�s siin�, jos on
V�itink� ett� se olisi elegantimpi? Vastasin vain sinun
v�itteeseesi, ett� rootin t�ytyy p��st� tapauksessasi
suoraan ssh:lla sis��n, se kun oli v��r�.
Ja jos tilanne on mik� on, niin kyll�h�n tuo minun tapani
paljon helpompi on silti, kuin sshd:n konffin muuttaminen.
Mutta tietysti jos ei X:n toiminta ole j��nyt telnet-
ajoilta selk�ytimeen, niin YMMV.
Ja niinkuin olen jo kirjoittanut, niin MINUN mielest�ni
root voi kyll� p��st� suoraan ssh:lla sis��n, kunhan vaan
salasana on kunnossa. �l� sotke kaikkia sinun kanssa
keskustelevia samaksi henkil�ksi.
--
Eino Tuominen
Tapio Väättänen
> V�itink� ett� se olisi elegantimpi? Vastasin vain sinun
> v�itteeseesi, ett� rootin t�ytyy p��st� tapauksessasi
> suoraan ssh:lla sis��n, se kun oli v��r�.
V�itink� min� niin? Kerroin, ett� olen esimerkkitilanteessa enabloinut
rootin sis��nkirjautumisen ssh:lla, koska muut tavat ei silloin toimineet.
> Ja jos tilanne on mik� on, niin kyll�h�n tuo minun tapani
> paljon helpompi on silti, kuin sshd:n konffin muuttaminen.
> Mutta tietysti jos ei X:n toiminta ole j��nyt telnet-
> ajoilta selk�ytimeen, niin YMMV.
Normaalisti ei joudu tekem��n mit��n xauthilla. Tai ainakin itselleni on
telnet-ajoista j��nyt mieleen "xhost + jotain" sek� "export
DISPLAY=joku:0.0".
> Ja niinkuin olen jo kirjoittanut, niin MINUN mielest�ni
> root voi kyll� p��st� suoraan ssh:lla sis��n, kunhan vaan
> salasana on kunnossa. �l� sotke kaikkia sinun kanssa
> keskustelevia samaksi henkil�ksi.
Niin, minun mielest�ni se rootin sis��np��st�v� oletus oli huono, joten
turhaan sin� minua itseesi sekoitat.
"By the way, I was being sarcastic" -- Homer J. Simpson
Eino Tuominen
>
> rootin sis��nkirjautumisen ssh:lla, koska muut tavat ei silloin toimineet.
V�itit. Ja olit v��r�ss�, koska DISPLAY ja .Xauthority olisivat
toimineet.
> Normaalisti ei joudu tekem��n mit��n xauthilla. Tai ainakin itselleni on
> telnet-ajoista j��nyt mieleen "xhost + jotain" sek� "export
> DISPLAY=joku:0.0".
No tuo nyt olikin se v��r� tapa. Silloinhan kuka tahansa sai
esim. avattua ko. hostista (tai IP:n spoofamaalla) ruudullesi
mit� tahansa. On tuota tullut kepposteluun k�ytetty�
itsekin.
--
Eino Tuominen
Tapio Väättänen
>>
>> V�itink� min� niin? Kerroin, ett� olen esimerkkitilanteessa enabloinut
>> rootin sis��nkirjautumisen ssh:lla, koska muut tavat ei silloin toimineet.
>
> V�itit. Ja olit v��r�ss�, koska DISPLAY ja .Xauthority olisivat
> toimineet.
En muuten v�itt�nyt. Alkuper�inen sanomuoto oli muotoa "..lienee ainoa
tapa...". Voit toki itse tarkistaa. Et nimitt�in liene v��r�ss�
v�itt�ess�si, ett� v�itin, vaan nimenomaan v�it�n, ett� olet.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Eino Tuominen
>
> v�itt�ess�si, ett� v�itin, vaan nimenomaan v�it�n, ett� olet.
>
Kirjoitit vastauksessasi (et minulle mutta kuitenkin):
"Esitin vain esimerkin, jossa olen joutunut enabloimaan
rootin kirjautumisen ssh:lla. En oikein ymm�rr� mit� ihmett�
v�nk��t? Onko esimerkkini jotenkin virheellinen, vai etk�
vain kykene uskomaan mit��n vastav�itteit� tai esimerkkej�."
Eli jouduit tekem��n tuon osaamattomuuttasi, et siksi
ett� se olisi ollut v�ltt�m�t�nt�. Korjaan siis n�kemyst�ni:
et v�itt�nyt ett� tekem�si olisi ollut v�ltt�m�t�nt�,
vaan esitit vain tuon esimerkin tilanteesta jossa se
sinulle oli v�ltt�m�t�nt�. Mutta konteksti miss� alkuper�isen
esimerkkisi esitit viittasi siihen, ett� pidit tekem��si
aidosti tarpeellisena.
--
Eino Tuominen
Jouko Holopainen
> Jouko Holopainen wrote:
>> /etc/ssh/sshd_conf:
>> PasswordAuthentication no
>> ...
>> AllowUsers lokaalisti...@10.10.10.0/16 etᅵᅵkᅵytettᅵvᅵ
Korjataanpa loput:
$ otpw-gen -o | lpr
(tulostukseen kannattanee lisᅵtᅵ koneen RSA key fingerprint)
/etc/pam.d/sshd:
...
auth sufficient pam_otpw.so
...
No niin. Noilla muutoksilla mennᅵᅵn. En takaa ettᅵ Ubuntun
pakettimanagerin otpw toimii kun latasin sorsat ja kᅵᅵnsin.
Ei mennyt kuin tunteroinen.
--
@jhol
Tapio Väättänen
> ett� se olisi ollut v�ltt�m�t�nt�.
Mist� sin� tied�t oliko se v�ltt�m�t�nt� tuossa nienomaisessa tapauksessa
vai ei? Min� nimitt�in tied�, ett� tuo esitt�m�si vaihtoehtoinen tapa ei
jostain syyst� toiminut. Sit� en tied� miksi.
Kuten sanottu, n�it� neuvojia kyll� l�ytyy pilmin pimein j�lkik�teen
neuvomaan, mutta sill� hetkell� kun paska lent�� tuulettimeen, samat
hemmot kyyristelee nyysseiss� j�lkineuvomassa joitain muita.
Saat j�lkineuvojan erikoisarvomerkin. Ole hyv�!
"Sinulla on sitten aika omituisia mielipiteit�."
Jukka Pakkanen 15.10.2009 sfnet.keskustelu.laki
Eino Tuominen
>
> neuvomaan, mutta sill� hetkell� kun paska lent�� tuulettimeen, samat
> hemmot kyyristelee nyysseiss� j�lkineuvomassa joitain muita.
Sinua vaan harmittaa kun et osannut. Ei se mit��n, olen
min�kin joskus tehnyt turhia s��t�j�.
--
Eino Tuominen
Tapio Väättänen
> min�kin joskus tehnyt turhia s��t�j�.
Minun on hyvin vaikea uskoa tuota todeksi.
"Relational people do it on tables!" -- Timon kommentti tietoviikon
Ari Saastamoinen
> Ei sudoa jostain syyst� vaan suostuta asentamaan joka paikkaan. T�ytyy nyt
> muistaa, ett� t�nnekin ryhm��n kirjoittelee muutama henkil�, joiden mukaan
> sudo itsess��n on tietoturvariski.
Onhan se toki turvallisempi, ett� koneelle p��sy ja siit� rootiksi
p��seminen vaativat eri salasanan. Ja rootteilu on kahden salasanan
takana toisin kuin normaali sudotustilanteessa, jossa salasanaksi
kelpaa se sama, jolla koneeseen p��si loggautumaankin.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Eino Tuominen
> Tapio V��tt�nen <t...@iki.fi> writes:
>
>> Ei sudoa jostain syyst� vaan suostuta asentamaan joka paikkaan. T�ytyy nyt
>> muistaa, ett� t�nnekin ryhm��n kirjoittelee muutama henkil�, joiden mukaan
>> sudo itsess��n on tietoturvariski.
>
> Onhan se toki turvallisempi, ett� koneelle p��sy ja siit� rootiksi
> p��seminen vaativat eri salasanan. Ja rootteilu on kahden salasanan
> takana toisin kuin normaali sudotustilanteessa, jossa salasanaksi
> kelpaa se sama, jolla koneeseen p��si loggautumaankin.
Joskus ennen sudoa oli k�yt�ss� komento "root"-joka k�yt�nn�ss� vastasi
sudo -s -komentoa. Sit� puukotin niin, ett� k�ytt�j�n salasanan sijaan
johdettiin uidia k�ytt�en toinen tunnus, jonka salasana siis vaadittiin
rootiksi p��syyn. Toimi erinomaisen hienosti. Ei viel� ole tarpeeksi
ollut intoa tehd� sudoon vastaavaa puukotusta. Saiskohan tuon tehty�
jollain sopivalla pam-mokkulalla, eik�s sudo k�yt� nykyisin sit�?
--
Eino Tuominen
Ari Saastamoinen
> ollut intoa tehd� sudoon vastaavaa puukotusta. Saiskohan tuon tehty�
> jollain sopivalla pam-mokkulalla, eik�s sudo k�yt� nykyisin sit�?
Saisi. Ei tartte itte sudoon koskea lainkaan. Mulla sudo kysyy
Zyxelin OTP-tokenilta saatavia numeroita.