Какими инструментами вы пользуютесь в работе?

Termius для первого пункта, второй не использую.

сегодня пользовался мотобуром, лопатой, топором, шуруповертом.

еще ложкой и ножом

openssh и pass хватит всем

[ssh клиент] должен уметь экспорт/импорт и работать с каким-то хранилищем паролей

«логгировать нажатия» и «автодополнять команды» забыл. не ssh клиента это дело

он же не умеет export/import

kepass на телефон можно поставить и веб морда не нужна особо

хранилище паролей

Не советую. Уж лучше пара «приватный-публичный ключи», сгенерированная с помощью хорошего шифра.

ssh клиент

openssh

Он должен уметь экспорт/импорт и работать с каким-то хранилищем паролей

не нужно

хранилище паролей

pass

Terminator, remmina.

★★★★★

Мда.

OpenSSH и LUKS-контейнер, в котором можешь с соответствующими правами хоть текстовые файлики с паролями хранить, хоть домашнее порно. Хранилища паролей — самый очевидный вектор атаки.

OpenSSH. Пароли в защифрованном ods файле.

А luks контейнер можно как-нибудь открыть в винде или на андроиде?

А вы с какой целью интересуетесь?

Майор Владимир

на андроиде

В root-repo у termux есть cryptsetup.

в винде

Я бы презрительны фыркнул, но тут очевидный WSL2. Мне самому было бы любопытно глянуть, что он умеет, но пока лениво.

Какой нафиг LUKS-контейнер для паролей? Не советуй плохого.

Пароли в защифрованном ods файле.

У вас тут с WitcherGeralt комедийный дуэт?

Не использую пароли уже много лет. Дефолтный ssh клиент на маке, дефолтный ssh клиент на центоси, авторизация по ключам.

Хранилища паролей — самый очевидный вектор атаки

Атакуй на здоровье.

https://strelnikov.xyz/pub/keepass_db_for_WitcherGeralt.kdbx

Хранилища паролей — самый очевидный вектор атаки

Юзая эту хрень ты как бы сообщаешь где искать твои пароли, так что да, любой велосипед, а то и нешифрованный текстовый файлик на практике будет лучше.

Надеюсь, что те, кому нтеренсо, наткнутся на эту ссылку, но мне нет.

Но на самом деле скопрометирован скорее всего будет софт и хранилище ты откроешь сам.

Юзая свой контейнер ты предоставляешь доступ к своим паролям любому пущенному от тебя процессу, так что даже шифрованный .ods-файл, как это ни смешно, защищает их лучше.

Не неси пургу, не тешь себя стандартными иллюзиями про security by obscurity, юзай pass. Можно в шифрованном контейнере.

Но на самом деле скопрометирован скорее всего будет софт и хранилище ты откроешь сам.

Ср. твой сценарий, где скомпрометирован скорее всего будет софт, а твои контейнер уже примонтирован и пароли из него доступны кому попало через феноменально сложную технологию open+read.

с соответствующими правами

Д — дислексия. Можешь отдельного юзера завести, я не запрещал.

Мне это в принципе не нужно, важные пароли я просто помню сам (длинные, сложные), неважные помнит браузер, контейнер есть, но там только коды восстановления, просто так я его открывать не буду.

А надо было просто зашифровать диск и юзать pass.

Диск и так шифрован, а контейнер с кодами просто синкается в облаке между пятью устройствами.

О господи, у тебя LUKS-контейнер в файле на ФС в LUKS-контейнере, да ты еще и синхронизуешь его монолитным непрозрачным куском? Вручную, или при конфликтах у тебя там монетка кидается, какую версию отбросить? Ппц, ты пытаешься каждым следующим комментом нанести моему лбу все большее сотрясение?

FDE + pass + (git | syncthing) лучше твоего сетапа по десятку пунктов уже. Разбери этот бред и сделай по уму.

Вручную, или при конфликтах у тебя там монетка кидается, какую версию отбросить?

Откуда бы им взяться? Что за бред? Коды восстановления — не записная книжка, они не обновляются по нескольку раз в день с разных устройств.

сделай по уму

Сказал человек, который не способен запомнить пароли.

Откуда бы им взяться? Что за бред? Коды восстановления — не записная книжка, они не обновляются по нескольку раз в день с разных устройств.

Ты ж про пароли говорил.

Сказал человек, который не способен запомнить пароли.

Сказал человек, который свои «неважные» пароли вообще сохранил в браузер. Синхронизируешь, кстати? С какой корпорацией?

Мне это в принципе не нужно

важные пароли я просто помню сам

контейнер есть, но там только коды восстановления

Д — дислексия.

Google. Взять пароль от лорчика, например, почему бы не доверить его гуглу?

Резюмирую твою ситуацию: большинство паролей в браузере и на серверах гугла, два других в голове, на случай отказа головы в LUKS-контейнере почему-то еще один LUKS-контейнер, вредные советы на ЛОРе, в своих попытках упрекнуть меня в проблемах с чтением ты сам забыл, что началось все с твоего феерически небезопасного предложения ТСу хранить пароли в текстовых файлах в LUKS-контейнере.

С - Склероз может все-таки? =)

Ты сегодня в ударе, обезьянничаешь особенно задорно.

еще один LUKS-контейнер

В облаке в первую очередь.

в своих попытках справедливых и успешных упрекнуть меня в проблемах с чтением

Пофиксил.

Твоя предъява была именно к тому, что в моём конкретном случае почему-то проблемы с синхронизацией должны быть.

С чего началось я прекрасно помню, а тему ты в общем-то сам постепенно увёл. Но по существу на претензию к очевидному вектору атаки так и не ответил.

в своих попытках справедливых и успешных упрекнуть меня в проблемах с чтением

Мечтай. Ты советовал хранить пароли в доступных любому процессу файлах, ты теперь и шлангуешь.

Но по существу на претензию к очевидному вектору атаки так и не ответил.

Если ты о «известно, где лежат эти файлы», то я считал, что тебе хватит «не тешь себя стандартными иллюзиями про security by obscurity», но, видимо, придется раскрыть. Не поленюсь:

Ты должен быть спокоен, даже если твой файл с паролем утечет. Это гораздо лучше, чем положить plaintext куда-то в иерархию FS и надеяться на разграничение прав или вообще на авось.

«Я положил passwords.txt двумя директориями левее» — это не сколь-либо серьезная мера защиты вообще, а «искать его теперь по всему дампу» это вообще не «вектор атаки».

Использовать GPG безопасно. Если поимеют GPG, то о тебе никто и не вспомнит. Никто не будет брутить твой ключ, когда можно брутить ключи подписи пакетов твоего дистра.

Использовать GPG при этом надо правильно, чтобы не налажать, как ты. Для этого есть pass и надстройки над ним, которые не засветят твой пароль ни в FS, ни в списке процессов, ни в буфере обмена, ни в базе за 2014, которая утечет у гугла в 2026 — там умные люди думали и сделали как надо. Юзай и ничего не придумывай, оно будет хуже.

Достаточно? Что-то еще непонятно?

403 Forbidden

но ссылку ты на всякий случай удалил 😁

на самом деле скопрометирован скорее всего будет софт и хранилище ты откроешь сам

Не тебе, но выше уже было.

Я просто пишу ssh в окне терминала и оно работает, в том числе и на винде. Пароли храню в текстовом файлике, в качестве файлового хранилища использую телеграм.

Те пароли которые можно ввести из интернета, они только для vpn, и я их даже не знаю. Генерирую, копипащу куда нужно и на этом всё. Если нужно будет переустановить систему, просто пересоздам vpn пользователя.

Так откроем же его сами заранее

Тебе, и выше уже было.

WitcherGeralt> [текстовые файлы в LUKS-контейнере]

Ранен.

rumgot> Пароли в защифрованном ods файле.

Ранен.

system-root> Пароли храню в текстовом файлике, в качестве файлового хранилища использую телеграм.

Убит.

Ой ну ппц тут безопасник разбушевался.

Можешь взломать мой сервер с виртуалками infra@10.0.1.101 пароль habK9GAl

Так кто сказал, что его открывать надо всем процессам-то? И вобще, откроешь только когда забудешь.

Не, если опустить вопрос создания, а потом никогда больше не монтировать, но норм тема. Но ТС явно не этого хотел, когда просил хранилище паролей к ssh-клиенту.

— Что делать, когда ребенок орет?

— Я своему пупуське кокс подсыпаю, когда орет.

— Кокс дорого, я своим полстопки всегда лила и спали как миленькие.

— Зачем так париться, когда можно отдать на усыновление?

— Девчонки, вы тут троллите так или в край долбанулись? Как вы можете так с детьми?

— Че докопался, очевидно же было, что я про мужа.

— Ой ну ппц тут нянька выискалась.

У меня файлы внутри контейнера принадлежат руту с 600, а директорию куда монтируется другие пользователи даже полистать не могут, где проблема-то? Если ты под рутом бяку пускашь, то проблема у тебя будет не из-за контейнера, и решит её не хранилище паролей. Если смущает рут, можно создать отдельного юзера.

Это безотносительно того, что хотел ТС. SSH с паролями — дичь, а в контейнере можно и ключи хранить. Правда тут уже схема посложнее получается.

Кстати, что делаешь с rsa-ключами, товарищ безопастик?

Поправил права, можешь загружать.

ssh клиент, который

Дядь, ты ведь знаешь как расшифровываются последние две буквы этого заморского слова? Поддержу t184256, OpenSSH хватит всем.

то самое хранилище паролей

А вот с этим совсем никак. Либо ты хранишь пароли у левого васяна в вебе (а значит наверняка торгующего твоими данными), либо занимаешься скрещиванием ужа с ежом в попытке сделать универсально и для всех платформ.

Забавно, да. Но мне так удобнее. Когда я работал админом, было много паролей и удобно с ними работать в табличном виде, или раскрасить разным цветом в зависимости от категорий или добавить какую-нибудь пояснительную инфу или еще что.

А чем по твоему pass лучше чем keepass?

много паролей и удобно с ними работать в табличном виде, или раскрасить разным цветом в зависимости от категорий или добавить какую-нибудь пояснительную инфу или еще что.

KeePass[XC] же.

Для яблока его вроде нет. Плюс встаёт вопрос синхронизации базы.

Первый пункт непонятен. Везде есть утилита командной строки ssh, какой еще клиент тебе нужен?

По второму пункту - сам юзаю Enpass, весьма удобная вещь.

в качестве файлового хранилища использую телеграм.

Удобно, наверное… мессенджер с серверами под контролем какого-то васяна пафосного для хранения файлов?… Мессенджер, для хранения файлов. До чего дуров людей довёл.

А в чём проблема?