Maarten Litmaath wrote:
> Eric Fede wrote:
>
>> Salut David
>>
>> Dans un premier temps ta remarque m'a semblée vachement pertinente,
>> bien que une attaque sur le CE depuis un WN ne puisse qu'etre
>> volontaire alors que lancer des process via fork sur un CE puisse
>> étre accidentel (nommage des queues, confioguration du defaut,...)
>
>
> [ The fork job manager can be misused by accident, whereas an ssh attack
> from the WN would be on purpose. ]
>
>> Mais aprés reflexion ( et puis tests pour étre sur sur notre site),
>> il est clair que depuis le CE on peut utilisé ssh ( les clefs sont
>> connues) mais c'est pas vrai dans le sens inverse, depuis un WN je
>> peux pas via ssh atteindre le CE. A moins que ne sache pas comment
>> faire ?
>
>
> [ ssh from CE to WN works for Eric, but not the other way around. ]
>
> The "lcgpbs" job manager has PBS/Torque copy the job wrapper's stdout and
> stderr from the WN back to the CE via scp (home directories not shared),
> so a grid account needs to be able to scp from WN to CE without password.
> Your site is using the "pbs" job manager, so there is no need for scp
> .
Fine. Therefore the usage of "appropriate job manager and
configuration" could be enough to close this "security" hole ?
Eric
--
--------------------------------------------------------------
FEDE ERIC Mail : [log in to unmask]
CPPM Mail : [log in to unmask]
163 Av de Luminy case 902 Tel : (+33) (0)4 91 82 76 41
13288 Marseille Cedex 9 France Fax : (+33) (0)4 91 82 72 99
--------------------------------------------------------------
|