Vladimir Bobarykin <Vladimir.Bobarykin@p1.f13.n5034.z2.fidonet.org> wrote:
VB> А если разрешить в ssh везде рутовый доступ и пароль 123 от него, а если пароль хотя бы 123#312 ? Правильно - нихера не будет. Потому что в отличие от паролей ключей - подбирать придется онлайн, по одному за раз, с разрывами соединения и таймаутами на каждой попытке, да и алертами, вероятнее всего.
И да, у меня почти везде рутовый доступ (точнее, беспарольный su, там где он не гнутый с дырой by design) и простые пароли. Хер их кто подберет. Кроме тех кто уже рут, и им даром не сдалось (но таки на машинах с физическим доступом посторонних - приходится именно из-за этого держать неподбираемые).
Продолбанный ключевой файлик можно ломать целыми фермами, с любым доступным по мощности рейтом, и совершенно невидимо для владельца - он даже не знает, что его продолбал. Чуешь разницу?
VB> Или всё же ты блокируешь рута и пароли посложнее делаешь, чем 123, а то и VB> ключом пользуешься? :) нет, я не пользуюсь ключами во всех местах, которые мне хоть немного ценны.
AK>> Технологии будущего, привыкайте, так теперь будет - всегда. VB> А есть ещё Ansible Tower :) ага, мышиком клик-клик. VB> Ансибл реально выручает в работе. угу, можно разом положить тысячу серверов, а не поштучно каждый.
Hу или угнать. Риальна, выручает.
А теперь внимание, опоздавшим родиться: как вы думаете - а до вас, таких умных, как мы управляли большим количеством серверов? Когда никакого ансибла с ключами от всего кучкой - в помине не было?
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)