= Сообщение: 3440 из 10763 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 29 Aug 15 12:57:16 Кому : Victor Sudakov 29 Aug 15 12:57:16 Тема : Re: Shell доступ к компьютеру за NAT. FGHI : area://RU.UNIX.BSD?msgid=<1187502270@ddt.demos.su>+d6774c72 На : area://RU.UNIX.BSD?msgid=2:5005/49+55e11f15 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:
VS> Hасколько я понимаю, для работы описанной схемы с "ssh -R" VS> полноценный шелловский доступ на твою машину и не нужен, сойдет для именно описанной - хватит и nologin. И он дает гораздо больше интересных возможностей, чем просто локальный доступ к консоли, где еще надо суметь что-то левое притащить и запустить. А тут - готовый инструмент уже находится на чьей-то личной машине.
Можно попробовать новые-модные фичи современного ssh, но это в любом случае решето.
Поскольку никто не обещал, что тот парень (или тот кто за ним подглядывает) не захочет добавить еще пару ключиков вместе/вместо согласованных. Hастроен ли у тебя, к примеру, файрвол не только на этой но и на всех остальных машинах в плане понимания того, что как listening, так и connecting сокет может быть создан untrusted юзером?
Сколько обалдуев, у которых -R - первое пришедшее в голову решение - без дальнейших раздумий вообще заведут этот логин на jumphost, торчащий в их внутренние сети, "все равно на нем ничего ценного нет"?
Или просто "халявная машинка, на белом адресе, наверное, с неплохим каналом? Вау, как интересно!" И хорошо еще, если у индивидуя с двойным натом хоть какие-то логи есть. А то свою-то долю "раз-два-три по печени" ты выхватишь, в случае чего, гарантированно, владелец дерьмоната - очень вряд ли, а вот того паренька могут и при большом желании не найти - их за натом тыщи, адрес на всех один.
Отношение разработчика протокола к этому вполне известно - если вы не доверяете 2nd party, просто не давайте ему логин. Данный инструмент не для этого.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)