LINUX.ORG.RU
ФорумAdmin

Один ключ, несколько публичных мест

 


0

3

Решил озаботится безопасностью ssh, ибо компьютер зачастил будить меня по ночам, что пытаются брутфорсить.

Сгенерировал ключик, получил id_rsa - приватный ключ и id_rsa.pub - публичный ключ; публичный должен храниться в файлике autorized_keys компьютера, к которому будешь подключаться используя приватный ключ, угу?

Дело в том, что я использую свой домашний ПК и как проксю и как просто «рабочее место», к которой подключаюсь через ssh -D 8080 home из любых других публичных мест.
Получается, что нужно таскать с собой на флешке всюду _приватный ключ_, файлик, который просят беречь как зеницу ока, я должен открывать на чужих Windows-машинах, чтобы залогиниться к себе.

О какой же безопасности может идти речь? Или как следует поступать в таких случаях? - Когда «сервер» один, а мест из которых к нему подключаться - много. Может, использовать отдельного пользователя, для которого создать свой собственный ключ, и логиниться к нему?

Ах, или для этого и предназначен passphrase, который просят ввести при генерации ключа? И если ключ утечет, то без этого пароля его не смогут использовать? А чтобы не вводить пароль постоянно, нужно использовать ssh-agent?

★★★★★

к которой подключаюсь через ssh -D 8080 home из любых других публичных мест.
открывать на чужих Windows-машинах,
О какой же безопасности может идти речь?

Ну ты понел.

файлик, который просят беречь как зеницу ока, я должен открывать на чужих

С паролем та же фигня.

anonymous ()

чужих Windows-машинах

При использовании чужой машины твой ключ будет скопирован, а пароль снят кей-логгером.

Единственный более-менее адекватный вариант в таком случае - десяток флешек с одноразовыми ключами: после захода таким ключом он должен удаляться из authorized_keys, повторный логин с ним невозможен. Ну и софтину для использования ssh нужно таскать на тех же флешках.

Теоретически вектор атаки остаётся - заинджектится в твою софтину и что-нибудь сделать. Практически для этого во-первых, должно быть известно, что ты используешь такую систему; во-вторых, атакующий должен умень низкоуровнево писать под винды; и в-третьих, он должен очень сильно хотеть тебя сломать, чтобы этим заморачиваться.

Ну и ещё безопасный вариант - носить на флешке линуксовый LiveCD, грузится с него и работать.

selivan ★★★ ()
Последнее исправление: selivan (всего исправлений: 2)

Дело в том, что я использую свой домашний ПК и как проксю и как просто «рабочее место», к которой подключаюсь через ssh -D 8080 home из любых других публичных мест.
Получается, что нужно таскать с собой на флешке всюду _приватный ключ_, файлик, который просят беречь как зеницу ока, я должен открывать на чужих Windows-машинах, чтобы залогиниться к себе.

решение простое:

вместо того чтобы таскать флешку с ключём — лучше тоскай с собой свой ноутбук :) [желательно не очень большой]

(через него и входи в интернеты из публичных мест.. через этот твой ssh -ND8080)

HDD ноутбука — можно зашифровать через LUKS.. на случай потери ноутбука

user_id_68054 ★★★★★ ()

из любых других публичных мест

Насколько ты доверяешь «другим местам»?

Вокруг враги: таскай терминал с собой

Неуловимый Джо: неэкспортируемый ключ внутри носимого криптооборудования

Все люди братья, информация принадлежит человечеству: вот это вариант для флешки с файликом. И то, я бы установил время жизни ключа в максимум 2 периода отсутствия восле доверенного терминала, и генерил бы новые каждый «день».

DonkeyHot ★★★★★ ()

Для публичных мест есть one-time password.

fjoe ()

Еще от тупого брутфорса хорошо защищает смена порта на нестандартный

disarmer ★★★ ()

Двухфакторную авторизацию к ssh прикрути (ключ с паролем + sms на телефон).

generator ★★★ ()

Если вы только боитесь перебора, и ключи вам использовать неудобно, то установите тот же sshguard или fail2ban. Они очень эффективны.

Если вам неудобно таскать с собой ключ, но у вас всегда под рукой смартфон, то настройте либо двухфакторную аутентификацию с использованием HOTP/TOTP (тот же Google Authenticator). Если у вас еще и на смартфоне есть интернет, то можете просто подтвержать все заходы через ssh, можете даже без пароля логиниться. Это можно реализовать, например, через DUO (https://www.duosecurity.com/docs/duounix).

ValdikSS ★★★★★ ()

Именно для этого и используют passphrase!

«Ах, или для этого и предназначен passphrase, который просят ввести при генерации ключа? И если ключ утечет, то без этого пароля его не смогут использовать? А чтобы не вводить пароль постоянно, нужно использовать ssh-agent?»

Парольная фраза как раз для этого и существует, потерял ключ, надо еще и ее подобрать. Кстати это не пароль пользователя, а именно парольная фраза ключа. Но параноя сисадмина она безгранична, как тут уже сказали коллеги, можно скопировать ключ и подсмотреть или снять парольную фразу. Правда вероятность этого ничтожна мала. Тут у нас присутствует агрессивная секта «Под root работать нельзя!!!», так вот они утверждают, что вероятность можно еще снизить разрешив пользователю только sudo, а уж там ..... они правы, но это уже пик паранои но теоретически и набор пароля в sudo тоже тогда можно снять. А вот ssh-agent на левых машинах я бы не использовал, он для своей проверенной тачки, с которой вылезаешь ты и только ты в разные места по паре десятков раз в день. Забудешь выгрузить ключ, или сам агент и никому ничего не надо копировать или подбирать....

alex_sim ★★★ ()
Ответ на: Re: Именно для этого и используют passphrase! от anonymous

Не цепляйся к слову Аноним!

Я не сторонник секты, сказанное мной является чисто ИМХО. Но для параноиков.... если сам себе усложняешь доступ используя кучу приседаний... злоумышленнику однозначно становится сложнее.

Еще раз говорю это чисто мое мнение и они может быть неправильным.

Обоснуй свою подковырку.

alex_sim ★★★ ()
Ответ на: Не цепляйся к слову Аноним! от alex_sim

Re: Не цепляйся к слову Аноним!

Не цепляйся к слову Аноним!

Не нервничай так от простого вопроса. Отдохни от троллей недельку.

Обоснуй свою подковырку.

Как по мне, su и работа под рутом ничуть не хуже этого вашего sudo. Если логинишься в ssh по паролю, то даже лучше, надо знать пароль пользователя и рута, вместо одного пароля пользователя. Ты считаешь, что они правы - обосновывай.

anonymous ()

компьютер зачастил будить меня по ночам

Начни решать проблему прямо с этого места.

thesis ★★★★★ ()
Ответ на: комментарий от selivan

Даешь одноразовые ключи!
Нужно на каждой администрируемой машине в логин-скрипт пихнуть процедуру генерирования новой пары ключей, соответствующие операции с файлами и отправку нового ключа в motd на секретное мыло.
Вот это будет труевейшее Ъ.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

Кстати да, удачное дополнение получится, ногами за новыми ключами приходить не надо. Только при этом шифровать сгенерённый ключ мастер-ключом, тогда можно не на секретное мыло, которое один хрен в небезопасных интернетах, а хоть на рапидшару выкладывать. Ну и да, всё равно нужна доверенная машина, на которой ты будешь это распаковывать.

selivan ★★★ ()
Ответ на: Re: Не цепляйся к слову Аноним! от anonymous

Я же вроде сказал, что я не из секты

15 лет пользую ssh -ключ roota с парольной фразой, авторизация рута по паролю отключена. Считаю вполне достаточно, но параноя у всех разная. Кто то может опять же сказать что я админ localhost

alex_sim ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.