Re: bluetooth и getty
On 2007.12.04 at 20:06:41 +0300, Alexey Pechnikov wrote:
> В сообщении от Tuesday 04 December 2007 14:50:02 Victor Wagner написал(а):
> > А вот как был поднять getty на /dev/rfcommX?
> >
> > Т.е идея такая - организовать что-то типа dun, только присоединившееся
> > устройство получает не ppp-сессию, а login prompt и консольную сесию в
> > случае успешной авторизации.
> >
> > Мануал по dund читал, там ничего интересоного не написано.
> > В мануале по rfcomm(1) описана опция --listen, но что произойдет,
> > когда клиент таки придет, и куда лошадь (то есть getty) запрягать, не
> > написано.
> >
> > Поднять ppp-сессию и ходить по ней телнетом/ssh не предлагать.
>
> А смысл? Не ясно, зачем работать на уровне канала, когда openvpn решает и эту
> задачу, и многие другие.
Какую задачу она решает? Защиту канала от прослушивания? Мне это не
надо. Мне нужно решить совсем другую задачу - гарантировать что никакие
действия злоумышленника на машине, где крутится getty не могут привести
к компрометации машины, которая логинится. Чем ниже уровень
используется, тем меньше шансов, что где-то будет незакрыт на файрволле
порт, где-то будет buffer overflow в драйвере etc.
Как раз openvpn в данном случае хуже ssh и telnet, поскольку построение VPN предполагает
что оба конца виртуальной сети доверяют друг другу.
ppp без всяких vpn и заход телнетом - еще куда ни шло. Но - у обоих
машин участвующих в соединении есть сеть. У той куда заходят - интернет,
и естественно, нужно аккуратно не давать telnetd слушать не на
ppp-интерфейсе. У второй машины, которая изображает из себя юзера, есть
локалка с кучкой X-терминалов. И тут тоже придется городить
прочный-прочный firewall закрывая со стороны ppp-интерфейса все, кроме
23-го порта. Нафиг мне это надо? Проще вообще TCP/IP там не иметь, а гонять
голые 7-битные ASCII-символы.
Reply to: