ssh путается в ключах клиента

Jul. 19th, 2012 09:34 am
netch80: (Default)
[personal profile] netch80
Опять наткнулся на баг sshd (openssh), что он вместо того ключа, с которым авторизовался клиент, вдруг применяет другой. Стимулирует срабатывание наличие forced command, но точные условия не могу пока воспроизвести.
Но по всему этому начинаю бояться держать на ключевых машинах один sshd. Нужна альтернатива.

Вообще openssh написан ужасно. Например, чем надо думать, чтобы вместо попытки предварительно определить тип ключа прочитать несколько первых символов строки и затем вызвать разбор нужного типа - вызывать последовательно попытки чтения каждым типом, замусоривая дебаг сообщениями типа "а я не знаю, как это читать". Или с той же forced command - пытается вначале прочитать ключ без параметров, а когда видит, что фигня - читает уже с параметрами.
У ssh2-fi было гибче - каждый ключ в отдельном файлике.
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Date: 2012-07-19 08:40 am (UTC)
From: [identity profile] egorfine.livejournal.com
"бояться держать на ключевых машинах один sshd."

да-да, openssh - это слишком молодой софт, не обкатанный еще в реальной жизни. Мало ли что с ним может случиться.

"Нужна альтернатива."

а кстати, существуют ли?

Date: 2012-07-19 09:56 am (UTC)
From: [identity profile] unbe.livejournal.com
dropbear :)

Date: 2012-07-19 10:05 am (UTC)
From: [identity profile] egorfine.livejournal.com
Ну ладно, а кроме?

Date: 2012-07-19 12:06 pm (UTC)
From: [identity profile] netch80.livejournal.com
> да-да, openssh - это слишком молодой софт, не обкатанный еще в реальной жизни. Мало ли что с ним может случиться.

Ты сам понимаешь, что это разглагольствования в пользу бедных.
openssh не молодой. Но старость не означает зрелость. Сами собой напрашиваются контрпримеры, начиная с sendmail.
И openssh достаточно бурно развивается (или ещё пару лет назад развивался), но качество от этого автоматически не возникает.

> кстати, существуют ли?

По-моему, кроме dropbear и не осталось. Финский ssh умер. Я об этом писал год с хвостом назад.

Date: 2012-07-19 12:07 pm (UTC)
From: [identity profile] netch80.livejournal.com
Можешь оживить lsh:) У него BTW лицензия чисто гнутая, многим это вкуснее.

Date: 2012-07-19 12:38 pm (UTC)
From: [identity profile] p1r4nh4.livejournal.com
Уныло как-то, где конкуренция?! Что такого вообще от ссх-сервера надо, что их так мало?

Date: 2012-07-19 12:41 pm (UTC)
From: [identity profile] egorfine.livejournal.com
Бедные - в данном случае *весь* мир.

Date: 2012-07-19 12:46 pm (UTC)
From: [identity profile] unbe.livejournal.com
нужна всего лишь мелочь какая-то - отсутсвие дыр.

Date: 2012-07-19 12:55 pm (UTC)
From: [identity profile] p1r4nh4.livejournal.com
Можно начать с того, что писать не на си, чтоб руками не проверять всë.

Date: 2012-07-19 01:02 pm (UTC)
From: [identity profile] unbe.livejournal.com
во-первых, на чем тогда?
во-вторых, не поможет бггг.

Date: 2012-07-19 01:06 pm (UTC)
From: [identity profile] p1r4nh4.livejournal.com
OCaml, Go?

Почему нет?

Date: 2012-07-19 02:05 pm (UTC)
From: [identity profile] unbe.livejournal.com
возникает вопрос, сколько C кода все равно понадобится, сколько C кода в кишках этих языков и их библиотек, и насколько ему можно доверять :)

Люди уже с горем пополам научились писать security-conscious код на С, даже такие говноеды как Adobe, и большинство проблем не из-за языка. Хороший код писать трудно, цена ошибки в sshd высока.

Date: 2012-07-19 02:49 pm (UTC)
From: [identity profile] blinohod.livejournal.com
> начинаю бояться держать на ключевых машинах один sshd.

Держи отдельного человека возле машины.
Со взводом вооруженной охраны при нем :)
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only
Page generated Jan. 3rd, 2026 01:37 am
Powered by Dreamwidth Studios