Парольный доступ по SSH

0

2

В целях безопасности отключил доступ по паролю в sshd_config:

PasswordAuthentication no

С удаленных устройств подключаюсь по приватному ключу. Но в таком случае при подключении на локалхосте так же требуется приватный ключ, а хранить приватный ключ на сервере вроде как считается не безопасным. Как настроить сервер так чтобы на локалхосте он подключался по паролю, а с удаленных устройств без пароля, по приватному ключу?

←	Не получается запустить AppArmor-профиль для Firefox в режиме enforce

Как запретить устройству получать и передавать данные через интернет?

→

Ты случайно не путаешь аутентификацию по паролю и ключ с паролем?

blexey ★★★★★ (28.02.19 23:14:15)

Зачем на локалхост ходить по ссш? Может лучше sudo?

Bers666 ★★★★★ (28.02.19 23:21:31)

хранить приватный ключ на сервере вроде как считается не безопасным
настроить сервер так чтобы на локалхосте он подключался по паролю, а с удаленных устройств без пароля, по приватному ключу

/0. Наоборот тогда надо.

~~svinarenko~~ (01.03.19 00:07:20)

Ответ на: комментарий от blexey 28.02.19 23:14:15

Ключ без пароля. Если нет ключа, то осуществляется аутентификация по паролю учётной записи.

Grantrol ★ (01.03.19 00:29:16)

Ответ на: комментарий от Bers666 28.02.19 23:21:31

У меня cygwin, там это все немного иначе реализовано.

Grantrol ★ (01.03.19 00:29:59)

Ответ на: комментарий от svinarenko 01.03.19 00:07:20

Зачем?

Grantrol ★ (01.03.19 00:30:50)

Ответ на: комментарий от Grantrol 01.03.19 00:30:50

Что зачем? Ты хочешь на серверах ключ держать, а на локалхосте не держать, при том, что как раз на серверах ключ держать небезопасно. Хде лохика?

~~svinarenko~~ (01.03.19 01:36:45)

сервер
cygwin

омфг

Deleted (01.03.19 07:26:32)

Наркоман? Ну сгенерируй для локалхоста, с которого подключаешься к серверу, ключ защищённый с паролем.
Если ты имел в виду, что с самого _сервера_ тебе зачем-то нужен приватный ключ — обратись в ближайший наркодиспансер.

anonymous (01.03.19 08:12:20)

Ответ на: комментарий от Grantrol 01.03.19 00:29:16

Ну тогда на ssh сервере разрешаешь, как положено, оба вида аутентификации, а с каждой «клиентской» стороны (локальной, удаленной) используешь один нужный (man ssh_config).

blexey ★★★★★ (01.03.19 14:48:40)
Последнее исправление: blexey 01.03.19 14:53:05 (всего исправлений: 1)

Ответ на: комментарий от svinarenko 01.03.19 00:07:20

/0. Наоборот тогда надо.

Не, не наоборот, я кажется понял: тс имеет ввиду, что если на локальный ssh сервер тоже ходить по ключу (как все нормальные сетевые пользователи этого сервера), тогда приватный ключ придётся держать на этом же сервере, что не есть гуд.

blexey ★★★★★ (01.03.19 15:02:44)

Ответ на: комментарий от blexey 01.03.19 15:02:44

Ага, а то всякий, кто сможет зайти на этот сервер и иметь после того достаточно прав для чтения этого ключа, сможет зайти на этот сервер.

t184256 ★★★★★ (01.03.19 15:24:28)

Ответ на: комментарий от t184256 01.03.19 15:24:28

Ага, а то всякий, кто сможет зайти на этот сервер и иметь после того достаточно прав для чтения этого ключа, сможет зайти на этот сервер.

Поправлю для ясности: всякий, кто сможет зайти с достаточными правами для чтения этого ключа, сможет зайти и под этим юзером.

blexey ★★★★★ (01.03.19 19:00:51)

man sshd_config

Match Address 127.0.0.0/8

Ну и для ipv6

boowai ★★★★ (01.03.19 19:20:50)

Ответ на: комментарий от boowai 01.03.19 19:20:50

Или наоборот. LocalAddress

boowai ★★★★ (01.03.19 19:34:29)

Ответ на: комментарий от blexey 01.03.19 19:00:51

Ты попробуй выдать o+r на приватный ключ, посмотри, что будет.

t184256 ★★★★★ (02.03.19 19:29:39)

Ответ на: комментарий от t184256 02.03.19 19:29:39

Это понятно. Но вдруг его пользователи балуются рутом, sudo или suid... Можно, конечно, полагаться на исправность софта и порядок с правами. Но проще, всё-таки, не хранить.

blexey ★★★★★ (02.03.19 20:16:30)

Ответ на: комментарий от blexey 02.03.19 20:16:30

Ясное дело проще, как и ясное дело, что дополнительно валяющийся ключ безопасность снижает. Но ты краски пересгустил.

t184256 ★★★★★ (02.03.19 20:18:20)

Наверно, я не до конца понял задачу, но не форварлдинг ли ключа требуется?

PunkoIvan ★★★★ (02.03.19 20:34:54)

Ответ на: комментарий от blexey 01.03.19 14:48:40

Ну класс. А как реализовать?

Grantrol ★ (03.03.19 18:41:20)

Ответ на: комментарий от PunkoIvan 02.03.19 20:34:54

Что такое форвалдинг?

Grantrol ★ (03.03.19 18:41:52)

Ответ на: комментарий от Grantrol 03.03.19 18:41:20

Как-то так:

1. /etc/sshd_config:
...
PubkeyAuthentication yes
PasswordAuthentication yes
# еще можно попробовать навязать обоим типам клиентов соответствующие AuthenticationMethods, но я на себе не пробовал:
...
Match Address 127.0.0.0/8
AuthenticationMethods password
...
Match Address 192.168.0.0/24
AuthenticationMethods publickey
...

2. ~/.ssh/config (удаленный клиент):
...
Host my_remote_server
PreferredAuthentications publickey
...

3. ~/.ssh/config (локальный клиент):
...
Host my_local_server
PreferredAuthentications password
...

4. Пароли удаленных клиентов поменять на сервере, чтобы не знали и пользовались только своими ключами. Или навязать им разные AuthenticationMethods, если получится с Match.

blexey ★★★★★ (03.03.19 20:32:52)
Последнее исправление: blexey 03.03.19 20:33:55 (всего исправлений: 1)

Ответ на: комментарий от Grantrol 03.03.19 18:41:52

AgentForwarding

Использование приватного ключа через один хоп без сохранения самого ключа на промежуточном хосте.

PunkoIvan ★★★★ (03.03.19 21:45:22)

Ответ на: комментарий от PunkoIvan 03.03.19 21:45:22

А что за хоп?

Grantrol ★ (04.03.19 00:11:58)

Ответ на: комментарий от Grantrol 04.03.19 00:11:58

Ну и ??

~~Gleb567~~ (18.03.19 19:24:18)

Ответ на: комментарий от Gleb567 18.03.19 19:24:18

Что?

Grantrol ★ (18.03.19 21:24:25)

←	Не получается запустить AppArmor-профиль для Firefox в режиме enforce

Security

Как запретить устройству получать и передавать данные через интернет?

→

Похожие темы