Техническое. Удивления
Mar. 3rd, 2007 03:18 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
netchУдивился, почему в sshd (от OpenSSH) нигде нет настройки вида "пускать паролем/PAM только с указанных хостов, а с остальных только по ключу". В финском таки есть - через host-specific subconfig. В опёнковском нет - что странно, потому что в ssh_config конфиги по хостам есть. Неужели никто пока такого не просил?
Ну и защита против перебора у него слабовата.
(вслед этому простому хауту)
D-Link удивляет. Новые линейки (DVG-40xx, DVG-70xx) - кому и зачем нужны дикие комбинации типа "16*FXS+16*FXO"? Я понимаю нафига например 2*FXO+6*FXS - вместо миниАТСки (только надо сервер добавить). Понятно зачем просто 4*FXS или 4*FXO. А зачем такая странная смесь?
В ru.unix.bsd интересная дискуссия вокруг MTU & IPSec. В принципе против IPSec у меня давно зуб (чуть поменьше чем против IPv6, но примерно того же характера), только надо сформулировать почётче.
Кстати, RFC4459 - рассуждения о проблемах MTU - достаточно грамотно и по сути.
Ну и защита против перебора у него слабовата.
(вслед этому простому хауту)
D-Link удивляет. Новые линейки (DVG-40xx, DVG-70xx) - кому и зачем нужны дикие комбинации типа "16*FXS+16*FXO"? Я понимаю нафига например 2*FXO+6*FXS - вместо миниАТСки (только надо сервер добавить). Понятно зачем просто 4*FXS или 4*FXO. А зачем такая странная смесь?
В ru.unix.bsd интересная дискуссия вокруг MTU & IPSec. В принципе против IPSec у меня давно зуб (чуть поменьше чем против IPv6, но примерно того же характера), только надо сформулировать почётче.
Кстати, RFC4459 - рассуждения о проблемах MTU - достаточно грамотно и по сути.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2007-03-10 10:53 am (UTC)OpenSSH 4.6 :
Changes since OpenSSH 4.5:
============================
* sshd now allows the enabling and disabling of authentication
methods on a per user, group, host and network basis via the
Match directive in sshd_config.
Надо будет проверить, можно ли задать разрешения для ключей.
no subject
Date: 2007-03-10 11:14 am (UTC)Если можно для дефолтной группы хостов написать "PasswordAuthentication no" и "ChallengeResponseAuthentication no", а для своих - разрешить хотя бы второе - будет достаточно положительного эффекта:)) Все переборщики резко пойдут лесом.
no subject
Date: 2007-03-10 12:55 pm (UTC)Мне например, было бы удобно для спец. логина открыть доступ с 0/0, а вот для типовых рабочих - только со своих сеток.