forum.opennet.ru

Составление сообщения

Исходное сообщение

"Реализация чата на основе SSH. Предложения по расширению обл..."
Отправлено Xaionaro, 05-Янв-15 11:03

>>Как сделать автоматическую регистрацию пользователей? Через https? Или через костыли с pam?
> Здесь это тоже никак не решено, сервер любой ключ принимает.
Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых логинов по fingerprint или по другим признакам. Разница между данным решением и костылями через pam в том, что не придётся продумывать и реализовывать мегатонну деталей:
1. Сделать по изолированному контейнеру каждому пользователю (которых, грубо говоря, бесконечное количество). Это необходимо по большому количеству мелких причин, _например_ (один из _многих_ примеров) один пользователь может замусорить какой-нибудь IPC, и тем самым не дать всем другим пользователям нормально работать. К тому же в рамках данного примера, в случае с unshare(CLONE_NEWIPC) [который используют в частности и контейнерные системы в Linux] появляется элегантный GC для IPC, предотвращая исчерпания IPC-ресурсов (например семафоров или shm) из-за мелких утечек.
2. Запретить SFTP и прочую фигню.
3. Выставить дисковые квоты каждому контейнеру, чтобы не мешали друг другу работать.
4. Сделать screen с irssi шеллом по умолчанию
5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как chat-ом на данном сервере.
6. Безопасно организовать сеть во всей этой мешанине контейнеров так, чтобы не наплодить мегатонну интерфейсов.
n. т.д. и т.п.
В результате придётся сделать огромный мега-костыль. Который, вероятно, будет очень неудобен, не очень надёжен, и возможно будет содержать какие-то дыры безопасности (так как поверхность для атаки очень велика, а делано всё собственноручно и без сторонних проверок).
> Да через
> pam тоже можно всех подряд пускать.
Вы это уже делали когда-нибудь? _IIRC_, это сложнее, чем может показаться, ибо pam пытались делать безопасно, и в результате там запрещена авторизация несуществующих пользователей (ещё у них пароль подменяется на "*INVALID*", IIRC, но это сейчас не важно). Однако допускаю, что тут я могу что-то неправильно помнить.
Но вообще, если идти таким путём, то нужно будет придумать костыль, который пускает любого пользователя с любым логином (кроме root и других уже занятых, а также кроме логинов в виде чисел), а потом при следующих авторизациях вспоминает, что данный логин уже занят другим, и позволяет его использовать только при верном пароле, ключе или других признаках. + не стоит забывать задачи, перечисленные в начале данного комментария.
В результате можно будет случайно допустить ошибку, которая умному хацкеру даст возможность получить root от машинки.

Исходное сообщение
"Реализация чата на основе SSH. Предложения по расширению обл..." Отправлено Xaionaro, 05-Янв-15 11:03
>>Как сделать автоматическую регистрацию пользователей? Через https? Или через костыли с pam? > Здесь это тоже никак не решено, сервер любой ключ принимает. Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых логинов по fingerprint или по другим признакам. Разница между данным решением и костылями через pam в том, что не придётся продумывать и реализовывать мегатонну деталей: 1. Сделать по изолированному контейнеру каждому пользователю (которых, грубо говоря, бесконечное количество). Это необходимо по большому количеству мелких причин, _например_ (один из _многих_ примеров) один пользователь может замусорить какой-нибудь IPC, и тем самым не дать всем другим пользователям нормально работать. К тому же в рамках данного примера, в случае с unshare(CLONE_NEWIPC) [который используют в частности и контейнерные системы в Linux] появляется элегантный GC для IPC, предотвращая исчерпания IPC-ресурсов (например семафоров или shm) из-за мелких утечек. 2. Запретить SFTP и прочую фигню. 3. Выставить дисковые квоты каждому контейнеру, чтобы не мешали друг другу работать. 4. Сделать screen с irssi шеллом по умолчанию 5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как chat-ом на данном сервере. 6. Безопасно организовать сеть во всей этой мешанине контейнеров так, чтобы не наплодить мегатонну интерфейсов. n. т.д. и т.п. В результате придётся сделать огромный мега-костыль. Который, вероятно, будет очень неудобен, не очень надёжен, и возможно будет содержать какие-то дыры безопасности (так как поверхность для атаки очень велика, а делано всё собственноручно и без сторонних проверок). > Да через > pam тоже можно всех подряд пускать. Вы это уже делали когда-нибудь? _IIRC_, это сложнее, чем может показаться, ибо pam пытались делать безопасно, и в результате там запрещена авторизация несуществующих пользователей (ещё у них пароль подменяется на "INVALID", IIRC, но это сейчас не важно). Однако допускаю, что тут я могу что-то неправильно помнить. Но вообще, если идти таким путём, то нужно будет придумать костыль, который пускает любого пользователя с любым логином (кроме root и других уже занятых, а также кроме логинов в виде чисел), а потом при следующих авторизациях вспоминает, что данный логин уже занят другим, и позволяет его использовать только при верном пароле, ключе или других признаках. + не стоит забывать задачи, перечисленные в начале данного комментария. В результате можно будет случайно допустить ошибку, которая умному хацкеру даст возможность получить root от машинки.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>>Как сделать автоматическую регистрацию пользователей? Через https? Или через костыли с pam?
>> Здесь это тоже никак не решено, сервер любой ключ принимает.

> Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых 
> логинов по fingerprint или по другим признакам. Разница между данным решением 
> и костылями через pam в том, что не придётся продумывать и 
> реализовывать мегатонну деталей: 
> 1. Сделать по изолированному контейнеру каждому пользователю (которых, грубо говоря, бесконечное 
> количество). Это необходимо по большому количеству мелких причин, _например_ (один из 
> _многих_ примеров) один пользователь может замусорить какой-нибудь IPC, и тем самым 
> не дать всем другим пользователям нормально работать. К тому же в 
> рамках данного примера, в случае с unshare(CLONE_NEWIPC) [который используют в частности 
> и контейнерные системы в Linux] появляется элегантный GC для IPC, предотвращая 
> исчерпания IPC-ресурсов (например семафоров или shm) из-за мелких утечек.
> 2. Запретить SFTP и прочую фигню.
> 3. Выставить дисковые квоты каждому контейнеру, чтобы не мешали друг другу работать. 
 
> 4. Сделать screen с irssi шеллом по умолчанию 
> 5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как 
> chat-ом на данном сервере.
> 6. Безопасно организовать сеть во всей этой мешанине контейнеров так, чтобы не 
> наплодить мегатонну интерфейсов.
> n. т.д. и т.п.

> В результате придётся сделать огромный мега-костыль. Который, вероятно, будет очень неудобен, 
> не очень надёжен, и возможно будет содержать какие-то дыры безопасности (так 
> как поверхность для атаки очень велика, а делано всё собственноручно и 
> без сторонних проверок).

>> Да через 
>> pam тоже можно всех подряд пускать.

> Вы это уже делали когда-нибудь? _IIRC_, это сложнее, чем может показаться, ибо 
> pam пытались делать безопасно, и в результате там запрещена авторизация несуществующих 
> пользователей (ещё у них пароль подменяется на "*INVALID*", IIRC, но это 
> сейчас не важно). Однако допускаю, что тут я могу что-то неправильно 
> помнить.

> Но вообще, если идти таким путём, то нужно будет придумать костыль, который 
> пускает любого пользователя с любым логином (кроме root и других уже 
> занятых, а также кроме логинов в виде чисел), а потом при 
> следующих авторизациях вспоминает, что данный логин уже занят другим, и позволяет 
> его использовать только при верном пароле, ключе или других признаках. + 
> не стоит забывать задачи, перечисленные в начале данного комментария.

> В результате можно будет случайно допустить ошибку, которая умному хацкеру даст возможность 
> получить root от машинки.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру