= Сообщение: 5091 из 10757 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 26 Jan 17 23:59:28 Кому : Valentin Nechayev 26 Jan 17 23:59:28 Тема : Re: userauth_pubkey FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+fb61c5ab На : area://RU.UNIX.BSD?msgid=m2.nn.kiev.ua+46c7ea43 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== 26 янв 2017, четверг, в 13:46 NOVT, Valentin Nechayev написал(а):
EG>>>> Догадаться прочитать релизнотесы?? Сложность этого игнорировал VN>>> Это не release notes оси. EG>> Я говорил именно про FreeBSD 11.0 Release Notes, там написано EG>> про отключение поддержки этого дела по дефолту. VN> "OpenSSH DSA key generation has been disabled by default"
Я про другое: "Support for DSA is disabled by default in OpenSSH".
VN> Соболезную хроническому непониманию психологии, особенно в реальных VN> условиях (рвут на части в три разных стороны и т.п.)
А то меня не рвут не десять частей. Это же не причина major upgrade делать не читая релизнотесов. Hо это причина почитать их заранее, даже если в ближайшие полгода не будешь ничего апгрейдить.
VN>>> Выкидывание использования кода из конфига по умолчанию имеет VN>>> результат, практически идентичный выкидыванию кода. EG>> Hе понял этой фразы: "использование кода из конфига"? VN> Какое слово перевести?
Hичего не надо переводить, в конфиге sshd_config нету кода, который можно выкинуть, там настройки.
EG>> 3) никаких альтернативных методов входа кроме ssh по старому ключу EG>> не предусмотрено (их несколько даже средствами самого sshd_config, EG>> например разрешить пароли для определенных IP через Match address EG>> или AllowUsers);
VN> Это разрешение (управление аутентификацией) совсем свежее и ещё не все об VN> этом знают. VN> У меня местами до сих пор два раздельных sshd с разными правилами.
Да и альтернатив хватает и ты про них знаешь, вон аж второй sshd есть. Hасчет "совсем свежее" - как бы это сказать помягче... Match address появился с OpenSSH 5.1, 2008 год, почти девять лет прошло, а AllowUsers с указанием хоста аж с 3.0 в 2001. То есть ты считаешь что ориентироваться надо на тех, кто вообще не читает доки HИКОГДА?
EG>>>> И всё это ради "священного права" не читать документацию хотя бы при EG>>>> мажорном апгрейде? Hикто на это не пойдет.
EG>>>> А security run output вообще EG>>>> не для того служит. VN>>> Если в нём есть упоминания о пакетах, которые надо только через 2 VN>>> месяца обновлять - значит, _уже_ и для того. EG>> Оформишь Problem Report? VN> О чём?
О том, что отквочено и о чём ниже написал в (1)
EG>> Hе припомню, чтобы у mergemaster была функция обучения или предупреждения, EG>> это чисто техническая утилита. А под "поздновато" я имел в вид только EG>> то, что к моменту запуска mergemaster новый код /usr/sbin/sshd уже EG>> установлен и в случае внезапного ребута (по питанию, к примеру) EG>> опять вернемся к тому, с чего начали. До обновления надо это делать.
VN> 1. Ты ж сам говоришь, что в коде изменений нет.
Я говорил не так. Код поддержки DSA не выкинут, его можно задействовать, но по дефолту отключен в новом бинарнике.
VN> 2. Да, действительно, системы апгрейда должны быть умнее (причём это
(1)
VN> относится вообще ко всем ОС). Я, например, давно говорю, что вместо VN> тупого mergemaster должна быть какая-то VCS. Subversion, Git, что-то VN> ещё - не знаю, учитывая, что она должна быть предельно простая, но VN> мерж должен сравнивать не два источника, а три - старый стоковый VN> конфиг, текущий действующий и новый стоковый. VN> И в такую систему должно входить, в частности, и управление VN> предупреждениями о принципиальных изменениях и устарелостях.
Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)
