golosptic

Нашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.

Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.

Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.

Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.

Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.

Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.

Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.

P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.

X-Post to LJ

В связи с последними событиями надо срочно вытаскивать из архивов проект A-57 Бартини.

Чтобы стратегическая авиация не была так уязвима к атакам диверсионных дронов, она не должна требовать многокилометровых бетонных ВПП, которые строятся годами, и должна уметь перебазироваться чуть ли не каждый день на любую подходящую речную пристань.

https://nohello.net/

Там рекомендуют не посылать приветствие в чате отдельной репликой, а сразу в первой реплике упоминать содержателный вопрос,

Утверждается, что это потому, что большинство людей печатает гораздо медленнее, чем говорит, поэтому собеседник, получив от вас "Привет" будет вынужден несколько минут ждать того, что вы собственно хотели сказать.

Забавно, что аналогичную культуру общения я описывал у спейсиан в "Детях пространства". Там, правда это объяснялось не медленностью печати, а задержками распространения сигнала на межпланетных расстояниях.

— Это вас так учат, в первой же реплике вываливать на собеседника важную информацию? Как мешком по голове.

— Конечно. Если радиосигнал до собеседника идёт минут десять, времени на обмен всякими ритуальными репликами вроде «Привет!», «Как дела?» может уйти безумно много. Поэтому, если звонишь по делу, тему этого дела надо объявить в первой же реплике.

Впрочем, подозерваю что возникновение этой кампании только сейчас, а не тогда, когда я начинал писать "Детей пространства", произошло потому что очень многие люди пользуются экранными клавиатурами на мобильниках.

X-Post to LJ

Вид из купола на другие купола

Интерьер купола

Сегодня у меня в Плоском день работ по дому. Вчера купили новый поддон для душа, на этот раз не из нержавейки, а акриловый. Разобрал старый поддон, вычистил там всё что под ним было (а там была проблема сделать чтобы он по вспей площади опирался выпуклым дном на кривой пол, с новым проще он на ножках стоять будет, теперь просушиваю пол перед тем как покрасить. А новый поддон буду ставить когда краска высохнет.

Еще вчера приехал из Китая POE-сплиттер, по этому поводу я собрался и протянул к себе на второй этаж от роутера эзернетовский кабель. Через потолок терраски и стенку комнаты второго этаэжа (утепленную толстенной плито пенофлекса). Теперь надо закрепить этот кабель уже в пределах комнаты (а у меня нечем это сделать красиво, надо прикупить будет) и можно настравивать 802.11r на обоих роутерах.

Тут Шнайер пишет про кампанию Take 9. Предлагается людям прежде чем кликать по ссылке, подумать 10 секунд.

Шнайер эту кампанию справедливо критикует. Повторять его аргументы не буду. Желающий их увидеть да пройдет по ссылке, не ожидая 10 секунд, и прочитает.

Но вот где 10-секундная задержка может действительно помочь уменьшению спама, это в телефонии. Если брать телефон не сразу, а только через 10 секунд после того как он начал звонить, то скорее всего большая часть спаммеров уже повесит трубку и пойдет дальше по списку номеров.

Приехал вчера из Бужаниново в Плоское. Выехал без двадцати пять, приехал в одиннадцать. Причем вчера с утра ездил из Бужаниново в Москву на электричке - в поликлинику. Вернулся в полтретьего. Пообедал, доделал кое-что по дому и поехал. По дороге забрал заказ из Озона который не успел доехать в понедельник. Теперь его надо не забыть привезти обратно в Бужаниново, поскольку это инструмент для той дачи.

Поездка прошла не без приключений. Сначала встал в пробку на А108 где-то в районе Сысоево (это между Дмитровом и Рогачево) - там упала под откос фура и ее вытаскивали. Вытаскивающий эвакуатор занял одну полосу из двух и по второй полосе пускали туда и обратно по очереди.

Потом в Торжке не было бензина на любимой колонке около нефтебазы. Что обидно, ибо там он заметно дешевле, чем где бы то ни было еще. А я туда тянул можно сказать на последних каплях. Пришлось возвращаться на предыдущю колонку, которая на вьезде в город со стороны Твери. Там конечно было подороже, но все же 95-й дешевле 60 (на несколько копеек). Когда я заказал 50 литров, меня порадовли, что если не влезет, они деньги за недолитое автоматически вернут на карту (еще недавно такие вещи только с наличкой умели). Но я свою машну знаю. Если лампочка загорелась не меньше чем за 10 километров до колонки, то 50 литров влезет.

Всю дорогу слушал книжку. Я тут недавно отказался на телефоне от FBReader (у которого бесплатный TTS плагин отвалился) в пользу Coolreader и железяка кремниева мне опять читает вслух. Правда с djvu и pdf у coolreader совсем плохо. Но для них лучше отдельную читалку все равно.

В Плоском день начался с похода за водой на родник с 20-литровой бутылкой в рюкзаке.