UseDNS
опция главным образом бесполезна. Если клиентские машины находятся там в Интернете, существует высокий шанс, что у них нет обратного DNS, их обратный DNS не решает вперед, или их DNS не предоставляет информации кроме, “принадлежит этому ISP”, который IP-адрес уже говорит Вам.
В типичных конфигурациях DNS только используется для входа. Это может использоваться для аутентификации, но только если IgnoreRhosts no
указан в sshd_config
. Это для совместимости со старыми установками, которые использовали rsh, где можно сказать “позвонившего пользователя bob
на названной машине darkstar
может войти в систему как alice
не показывая учетных данных” (путем записи darkstar bob
в ~alice/.rhosts
). Это только безопасно при доверии всем машинам, которые могут возможно соединяться с ssh сервером. Другими словами, это очень очень редко применимо безопасным способом.
Учитывая, что поиск DNS не предоставляет полезной информации кроме очень специфических обстоятельств, это должно быть выключено. Насколько я могу сказать, единственная причина, она идет по умолчанию, состоит в том, что это технически более безопасно (если Вы обеспокоены аутентификацией, не доступностью), даже при том, что это только относится к крошечному стечению обстоятельств.
Другой аргумент в пользу того, чтобы выключить эту функцию - то, что каждой лишней функцией является ненужная угроза безопасности.
Из страницы справочника getfacl
:
-p, --absolute-names
Do not strip leading slash characters (`/'). The default behavior
is to strip leading slash characters.
Предупреждающее сообщение испускается при предоставлении полного пути без использования -p
переключатель.
Выводы отличаются, когда полный путь дан getfacl
команда.
Без -p
переключатель:
$ getfacl /path/foo/bar
getfacl: Removing leading '/' from absolute path names
# file: path/foo/bar
[Output truncated...]
Обратите внимание, что ведущая наклонная черта в пути к файлу показывает только когда -p
переключатель используется.
$ getfacl -p /path/foo/bar
# file: /path/foo/bar
[Output truncated...]
-p
полезно для хранения ведущей наклонной черты, когда Вы передали вывод по каналу для последующей обработки.
Выводы являются тем же, когда относительный путь дан getfacl
команда.
$ getfacl bar
# file: bar
[Output truncated...]
Никакие изменения:
$ getfacl -p bar
# file: bar
[Output truncated...]
--absolute-names
только соглашение с выходной строкой – "# файл": но не логика позади. Сначала я предполагаю, что это может быть средство защиты. Тем не менее, переключатель не существует вsetfacl
. Мое последнее предположение является автором, хотел бы моделироватьtar
поведение, хотя-p
включите использованиеgetfacl
может быть бесполезным. – Ivan Chau 24.10.2013, 04:51