Mailing List del Fortunae LUG ============================= On Sun, Sep 22, 2002 at 10:34:53AM +0200, m27 [h] wrote: > Per RSA/DSA ho iniziato più o meno a capire come funzionano, per quanto Se vuoi maggiori informazioni, il manuale di Openssl e' molto istruttivo. http://www.openssl.org. > riguarda l'apertura dall'esterno solo ad alcuni IP autorizzati è un problema, > infatti, ho pensato di usare iptables, ma il problema è che io non conosco in > partenza l'IP da cui inizierò la connessione; se mi connetto dal computer dal Ho sfogliato al volo la man page di tcpd e ho trovato un sistema che, forse, potrebbe fare al caso: c'e' la possibilita' di discriminare l'accesso al demone anche in base al nome DNS dell'IP di provenienza. Per cui, se ad es. ti apri un account su un dynamic DNS (http://www.dyndns.org e' uno dei tanti) che aggiorni automaticamente la coppia nome/ip quando ti colleghi e usi quello come unico host autorizzato, dovresti riuscire a costruire un'apertura on-demand. I rischi sono principalmente due: 1) Normalmente, quando ti scolleghi, la corrispondenza nome/ip non viene azzerata immediatamente, ma e' soggetta al normale expiration time delle entry DNS. Di solito, sui dinamici gratuiti, questo tempo e' di un'ora. Nel frattempo, quello che prende il tuo IP dopo di te, potenzialmente, potrebbe accedere (anche se questo rischio e' quasi annullato dall'autenticazione a chiave pubblica/privata). 2) DNS spoofing: la cache DNS potrebbe essere avvelenata da un attacker, che potrebbe spacciarsi per tuoaccount.dyndns.org. Vale la stessa considerazione sull'autenticazione di cui sopra. In buona sostanza, non lo utilizzerei in ambienti di produzione, ma se l'esigenza e' minore mi sembra piu' che abbastanza per sentirsi sicuri. -- BlueRaven There are only 10 types of people in this world... those who understand binary, and those who don't. -- <simon> magna caga e en capisc un cas