281. Análise da Vulnerabilidade

Eu tentei abranger aqui as questões resultantes desta configuração particular e das VPNs em geral. Todos os comentários são bem-vindos.

• sudo: Bem, eu estou usando o sudo exaustivamente; acredito que ele é ainda mais seguro do que o uso dos bits do setuid. Ele é ainda inconveniente para o Linux pois ele não obtém mais controle de acesso. Espere pela compatibilidade do POSIX.6 <http://www.xarius.demon.co.uk/software/posix6/>. O que é pior, existem scripts do shell que estão obtendo chamadas através do sudo; bastante ruim; alguma idéia?
• pppd: Ele também roda o suid; pode ser configurado pelo .ppprc do usuário . Deve existir algum buffer melhor que ele. A linha base: resguarde o registro do escravo tão próximo você possa.
• ssh: Esteja ciente de que o ssh mais velho que o 1.2.20 possui dificuldades de segurança. O que é pior, fizemos a configuração tal como quando a conta do mestre foi ajustada; a conta do escravo também foi ajustada, e amplamente aberta para ataques usando os dois programas "sudo". Isto porque eu ecolhi não ter uma senha na chave do mestre, para habilitar a configuração automática da VPN.
• firewall: Com o ajuste incorreto da firewall, você abre ambas as intranets; eu recomendo o uso do IP mascarado (pois a configuração das rotas incorretas é menos trivial), e fazer um controle rígido nas interfaces da VPN.