Парольный доступ по SSH

Ты случайно не путаешь аутентификацию по паролю и ключ с паролем?

Зачем на локалхост ходить по ссш? Может лучше sudo?

хранить приватный ключ на сервере вроде как считается не безопасным
настроить сервер так чтобы на локалхосте он подключался по паролю, а с удаленных устройств без пароля, по приватному ключу

/0. Наоборот тогда надо.

Ключ без пароля. Если нет ключа, то осуществляется аутентификация по паролю учётной записи.

У меня cygwin, там это все немного иначе реализовано.

Зачем?

Что зачем? Ты хочешь на серверах ключ держать, а на локалхосте не держать, при том, что как раз на серверах ключ держать небезопасно. Хде лохика?

сервер
cygwin

омфг

Наркоман? Ну сгенерируй для локалхоста, с которого подключаешься к серверу, ключ защищённый с паролем.
Если ты имел в виду, что с самого _сервера_ тебе зачем-то нужен приватный ключ — обратись в ближайший наркодиспансер.

Ну тогда на ssh сервере разрешаешь, как положено, оба вида аутентификации, а с каждой «клиентской» стороны (локальной, удаленной) используешь один нужный (man ssh_config).

/0. Наоборот тогда надо.

Не, не наоборот, я кажется понял: тс имеет ввиду, что если на локальный ssh сервер тоже ходить по ключу (как все нормальные сетевые пользователи этого сервера), тогда приватный ключ придётся держать на этом же сервере, что не есть гуд.

Ага, а то всякий, кто сможет зайти на этот сервер и иметь после того достаточно прав для чтения этого ключа, сможет зайти на этот сервер.

Ага, а то всякий, кто сможет зайти на этот сервер и иметь после того достаточно прав для чтения этого ключа, сможет зайти на этот сервер.

Поправлю для ясности: всякий, кто сможет зайти с достаточными правами для чтения этого ключа, сможет зайти и под этим юзером.

man sshd_config

Match Address 127.0.0.0/8

Ну и для ipv6

Или наоборот. LocalAddress

Ты попробуй выдать o+r на приватный ключ, посмотри, что будет.

Это понятно. Но вдруг его пользователи балуются рутом, sudo или suid... Можно, конечно, полагаться на исправность софта и порядок с правами. Но проще, всё-таки, не хранить.

Ясное дело проще, как и ясное дело, что дополнительно валяющийся ключ безопасность снижает. Но ты краски пересгустил.

Наверно, я не до конца понял задачу, но не форварлдинг ли ключа требуется?

Ну класс. А как реализовать?

Что такое форвалдинг?

Как-то так:

1. /etc/sshd_config:
...
PubkeyAuthentication yes
PasswordAuthentication yes
# еще можно попробовать навязать обоим типам клиентов соответствующие AuthenticationMethods, но я на себе не пробовал:
...
Match Address 127.0.0.0/8
AuthenticationMethods password
...
Match Address 192.168.0.0/24
AuthenticationMethods publickey
...

2. ~/.ssh/config (удаленный клиент):
...
Host my_remote_server
PreferredAuthentications publickey
...

3. ~/.ssh/config (локальный клиент):
...
Host my_local_server
PreferredAuthentications password
...

4. Пароли удаленных клиентов поменять на сервере, чтобы не знали и пользовались только своими ключами. Или навязать им разные AuthenticationMethods, если получится с Match.

AgentForwarding

Использование приватного ключа через один хоп без сохранения самого ключа на промежуточном хосте.

А что за хоп?

Ну и ??

Что?