Серьезным преимуществом РРР перед SLIP являются более надежные механизмы обеспечения безопасности. Чтобы повысить безопасность, добавьте следующие параметры pppd в файл /etc/ррр/options:
lock auth usehostname domain wrotethebook.com
Первый параметр, lock, предписывает pppd использовать файлы блокировки в стиле UUCP. Это предотвращает вмешательство в РРР-соединения со стороны других приложений, таких как UUCP или эмулятор терминала. Параметр auth требует авторизации второй стороны для создания канала РРР. Следуя этому указанию, локальная система запрашивает данные аутентификации у второй стороны. Вторая сторона при этом может и не запрашивать аналогичные данные у локальной системы. Если администратор удаленной системы требует аутентификации вашей системы, он должен использовать ключевое слово auth в настройках своей системы. Параметр usehostname предписывает использовать имя узла в процессе аутентификации и запрещает пользователю устанавливать произвольное имя локальной системы при помощи параметра name. (Очень скоро мы еще вернемся к вопросу проверки подлинности.) Последний параметр дополняет используемое в процессе проверки подлинности локальное имя до абсолютного - указанием доменного имени.
Вспомните, что параметры файла -/.ррргс и параметры командной строки pppd имеют приоритет более высокий, чем те, что содержатся в файле /etc/ ррр/options. Такая ситуация может отрицательно повлиять на безопасность. По этой причине некоторые параметры - включая только что перечисленные, будучи определенными в файле /etc/ррр/options, уже не могут быть изменены.
pppd поддерживает два протокола проверки подлинности: протокол аутентификации с предварительным согласованием вызова CHAP (Challenge Handshake Authentication Protocol) и протокол аутентификации пароля PAP (Password Authentication Protocol). PAP - это простая система парольной безопасности, уязвимая для всех видов атак на пароли многократного применения, тогда как CHAP предоставляет более совершенные механизмы проверки подлинности, не требующие использования паролей многократного применения и периодически выполняющие аутентификацию удаленной системы.
- Назад
- Вперёд >>
