igor734

Почему-то обновленный с F-Droid-а Fluffychat стал рассказывать что "у меня на телефоне, наверное нет сервисов гугля, и это хорошо для приватнсоти". Сервисы гугля у меня есть, whatsapp-то работает. Возможно это f-droid-овская сборка fluffychat не умеет с ними работать. Это мне не первый раз попадается.

Но в процессе оно рассказало, что существуют альтернативные гуглю системы push-нотификаций. В частности есть ntfy которая вся из себя открытая, и можно свой сервер поставить если очень хочется. Кстати почитав про ntfy я пришел к выводу что значительную часть того, для чего я использую матрикс, оно сделает и само по себе, а не в качестве прибамбаса к матриксу.

Гораздо более интересно то, что еще одним вариантом оперативного получения пуш-нотификаций о приходе сообщений в matrix, является xmpp-клиент conversation. То есть джаббер сам по себе.(ну это в общем понятно - протокол xmpp предполагает наличие постоянно открытого сокета. А матрикс работает через http(s).

Единственное что я пока из всей этой ситуации не понял - это откуда мой синапс узнает что слать нотификации моему мобильному клиенту надо через вот этот ntfy сервер (благо там единственным способом аутентифиации является URL-ка подписки), а в случае xmpp - откуда возьмет аккаунт с когорого можно слать сообщения.

Нашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.

Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.

Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.

Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.

Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.

Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.

Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.

P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.

X-Post to LJ

Представился фонтан под названием "Душераздирающее зрелище".

Представляет собой фигуру Самсона, опутанного душевым шлангом и раздирающего этому шлангу разбрызгивающий наконечник. Из наконечника, естественно, бьют струи воды.

Живая и пенопластовая