Archive for אפריל, 2012
SSL as ACL
by iTK98 on אפר.28, 2012, under כללי
מנהלי שרתים רבים עושים שימוש ב-SSL בכדי להגן על מערכות כניסה (למנוע ממידע שעובר בין השרת והלקוח לזלוג), אך אין הם לרוב עושים שימוש במנגון הקיים בכדי לזהות את הלקוח עצמו, הם מסתמכים שאם הלקוח יודע את השם משתמש והסיסמה, אז הוא כנראה מי שהוא טוען שהוא. במקרה הזה, תפקיד התעודה הוא כפול, הזדהות של השרת בפני הלקוח (אני זה מי שאני טוען להיות), ומניעת האזנה של צד שלישי לדו שיח המתקיים בין השרת והלקוח (המידע שאני שולח לא שונה בדרך). אך אם השרת היה דורש מהלקוח תעודה (אתה זה מי שאתה טעון להיות), התפקיד היה משולש וגם זהות הלקוח הייתה מאוששת באותו תהליך. מנגנון זה אינו תחליף לשימוש בשם משתמש וסיסמה, אלא אמור לשמש רק כמנגון סינון ראשוני לבעלי הגישה למערכת כניסה.(continue reading…)
לנהל את השרת, מהטלפון הנייד
by iTK98 on אפר.03, 2012, under כללי
עם השתכללות הטלפונים הניידים, התחליפיות בינם לבין מחשבים ניידים תגבר, זו דעתי בכל מקרה. היו מקרים שבהם היה בידי טלפון הנייד בלבד והייתי צריך לגשת לשרת בכדי לבדוק את מצבו, השימוש בקונסול דרך טלפון נייד הוא לא הכי נוח, בעיקר כאשר יש בידי טלפון נייד שהוא לא מהכי משוכללים, אולי בטלפונים ניידים חדשים יותר המצב שונה. עניין נוסף שהייתי צריך לטפל בו זה עניין ההרשאות והאבטחה של השרת, אני לא מעוניין שמהטלפון הנייד תהיה גישה בלתי מוגבלת לשרת.
השרת שלי מבוסס CentOS ויש לי טלפון נייד מבוסס סימביאן, הקלינט SSH שלי הוא PuTTY שהומר לסימביאן ואני עושה שימוש בהזדהות על-ידי מפתחות א-סמטרים (אני לא אכסה איך יוצרים מפתחות כאלה, איך מגדירים את השימוש שלהם בשרת ואיך ממירים מהסטדנרט של OpenSSH לסטדנדרט של PuTTY או PPK). ההתחברות לשרת קלילה, אך ברגע שאני מגיע לקונסול אני מגלה קושי לשלוח פקודות לשרת, כמו כן אני מעדיף שהמשתמש יהיה מוגבל בפקודות שהוא יכול להריץ. העניין הופך להיות מורכב כי יש פקודות שאני כן מעוניין שהוא יהיה מסוגל להריץ – אך הן דורשות הרשאות מנהל מערכת.
-
שלום, ברוכים הבאים ל BinaryVision!
תודה שביקרתם! תרגישו חופשי להצטרף לדיון ע"י השארת תגובות, כדי להיות מעודכנים אפשר להרשם לRSS.
בקרו בערוץ IRC שלנו: #binaryvision בשרת irc.nix.co.il
אחסון ב- Linode.com