LINUX.ORG.RU

Зачем нужны ключи?

 


0

2

В плотную SSH-ем пользуюсь уже не меньше 2-х лет. Вчера добавили мне 4 сервака (было всего два) и вот, опять, приятель выносит мне мозк пытаясь подбить меня использовать ключи.

Никогда их не использовал, всё время пользовался только паролями.

Вот если мои пароли выглядят примерно вот так: 7cg2_kezL2L7uqwn-e5wx9M-NFa8QQC- , и на моём компе они набираются с одного хоткея (спасибо xdotool¸ ну и keepassx для любых других случаев), то им что-то угрожает?

Рута нигде нет (сразу делаю passwd -d для него), пользуюсь только sudo, ну и в редких случаях sudo su.

На всех серверах debian stable. Есть смысл заводить ключи?


Длина твоего пароля - 256 бит. Дефолтная длина ключа - 2048 бит. Если кто-то залезет на сервер по ключу, для sudo ему отдельно понадобится пароль. Ну и да, хоткей не нужен.

anonymous
()

Вот у вас шесть серваков, они рядом с вами, вы админ - вам норм.

А представьте сферического коня, у которого несколько сотен серверов по всему миру, на все это добро десятка три админов, половина из них сидит на другом конце планеты и как-то им нужно доступ дать (более-менее мой случай). Вот и выбирайте - спросить у каждого админа его пароль (а ведь наверняка он захочет, чтобы не везде был одинаковый пароль, что логично), или просто взять у него публичный ключ?

Да, можно написать пароль в txt, который потом зашифровать, выслать это все зашифрованным письмом... Но стоит ли оно того?

l0stparadise ★★★★★
()

На всех серверах debian stable. Есть смысл заводить ключи?

Ключ + пароль куда лучше, чем только пароль, какой бы длины он не был. Ну и можно сделать ключ без пароля — удобная вещь для всяких хитрых манипуляций сразу с кучей однотипных машин.

ну и в редких случаях sudo su.

sudo -i
sudo -s
Выбирай

imul ★★★★★
()
Ответ на: комментарий от l0stparadise

Да, можно написать пароль в txt, который потом зашифровать, выслать это все зашифрованным письмом... Но стоит ли оно того?

да. Зашифровать и подписать. Это и называется «ключ».

emulek
()

Есть смысл заводить ключи?

смотри: на сервере есть СКС и ПКС (ключи сервера, первый секретный)

На клиенте СКК и ПКК.

Защита заключается в том, что СКС и ПКС НИКОГДА не покидают свой компьютер.

В отличие от пароля, который уходит от тебя на сервер. И соответственно его можно перехватить

1. у тебя

2. по дороге

3. на сервере.

СКК можно выдрать лишь с твоего компьютера.

Ну и потом, можно иметь Over9000 РАЗНЫХ ключей к разным серверам. Это безопаснее, чем одна база с кучей паролей, и удобнее.

Задача подмены сервера тоже усложняется многократно. Сейчас тебе можно подсунуть обманку, и ты тупо как барашек, введёшь свой пароль на МОЙ сервер. А потом я буду по нему заходить не хуже тебя.

emulek
()
Ответ на: комментарий от Pinkbyte

да, у ключа есть ещё один плюс: его можно ЗАБЫТЬ. Если я сделал систему, и потом стёр ключ, то я его вспомнить НЕ СМОГУ. Даже в паяльником в заднице. В лучшем случае я смогу только СЛОМАТЬ эту систему, но для этого я должен быть живым, здоровым, и не думать ни о чём постороннем.

И да, единственный ключ, который нельзя спереть: тот к которому применили процедуру shred. А вот забыть пароль — невозможно...

emulek
()
Ответ на: комментарий от emulek

да, у ключа есть ещё один плюс: его можно ЗАБЫТЬ

А потом ехать к серверу или просить кого-то сгенерить новый, ага :)

cipher ★★★★★
()
Ответ на: комментарий от cipher

А потом ехать к серверу или просить кого-то сгенерить новый, ага :)

дурная голова ногам покоя не даёт.

emulek
()

Чтобы можно было сделать так:

for i in alpha beta gamma ...; do ssh $i eject; done
crowbar
()

Есть смысл заводить ключи?

Да. Хотя бы затем чтобы не вводить пароль который все равно у тебя будет всяко короче чем ключ.

init_6 ★★★★★
()
Ответ на: комментарий от xtraeft

через уязвимость в любом ПО, работающем с сетью и запущенным от пользователя, у которого хранятся ключи.

Или у тебя отдельный пользователь ТОЛЬКО для логина по ssh на другие машины?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

через уязвимость в любом ПО, работающем с сетью и запущенным от пользователя, у которого хранятся ключи.

если она будет, то угон ssh ключей покажется детским лепетом

xtraeft ★★☆☆
()

сразу делаю passwd -d

man passwd, ололош.

Gotf ★★★
()
Ответ на: комментарий от xtraeft

если она будет, то угон ssh ключей покажется детским лепетом

Угу, если ты админишь этим ключом кучу серверов(адреса которых сопрут из .bash_history или еще откуда-нибудь) - это не детский лепет. Это - полный факап. С паролем - у тебя есть хотя бы мизерный шанс успеть заменить ключи до того, как твои сервера поимеют.

Без пароля, в случае утечки ключа и серверов, на которые он подходит - шансы равны 0.

Надеюсь, про то, что даже по ключу не стоит логиниться сразу в рута(и вообще не стоит логиниться по удаленке сразу в рута) объяснять не надо? :-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от Pinkbyte

Угу, если ты админишь этим ключом кучу серверов(адреса которых сопрут из .bash_history или еще откуда-нибудь) - это не детский лепет. Это - полный факап. С паролем - у тебя есть хотя бы мизерный шанс успеть заменить ключи до того, как твои сервера поимеют.

я говорю о том, что если мой компьютер поимеют, увод ssh ключей самое нестрашное, что может приключиться.

Без пароля, в случае утечки ключа и серверов, на которые он подходит - шансы равны 0.

кейлоггеры не отменяли

Надеюсь, про то, что даже по ключу не стоит логиниться сразу в рута(и вообще не стоит логиниться по удаленке сразу в рута) объяснять не надо? :-)

всегда логинюсь сразу рутом, смеюсь над параноиками.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

кейлоггеры не отменяли

Его внедрить все же сложнее, чем считать пару файлов. Особенно если они лежат по умолчальным путям.

всегда логинюсь сразу рутом, смеюсь над параноиками.

Ок, вопросов больше не имею

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Его внедрить все же сложнее, чем считать пару файлов.

почти так же невозможно, как и считать пару этих файлов (права рута откуда возьмешь?)

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

почти так же невозможно, как и считать пару этих файлов (права рута откуда возьмешь?)

А ты из под рута логинишься на другие сервера по SSH? Или всё-таки от своего пользователя?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

При наличии бэкапов тезис про забыть выглядит особенно глупым.

cipher ★★★★★
()
Ответ на: комментарий от xtraeft

фигня все это теоретическая.

Как человек, таки имеющий отношение к безопасности в одном дистрибутиве, говорю - таки не фигня. И даже не теоретическая.

Не, если обмазаться grsecurity с rbac, selinux-ом или app armor - то оно становится на порядок сложнее. А так - некоторые дыры, ведущие к remote arbitrary code execution делаются не просто, а очень просто.

Так что надо быть очень осторожным, когда запускаешь что-то новое от рута.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

А так - некоторые дыры, ведущие к remote arbitrary code execution делаются не просто, а очень просто.

напомни последнюю из известных?

когда запускаешь что-то новое от рута.

я разве писал, что запускаю что-то новое от рута? вроде бы речь о ssh шла

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от Deleted

если будет доступ к системе, то пароль не поможет все равно - на лоре даже были примеры кейлоггера, который работает без прав рута.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

если сопрут ключи
если будет доступ к системе
если я буду держать пароль на бумажке под клавиатурой
если я на обои повешу пароль от системы
если я прокричу на всё здание свой пароль от системы

Deleted
()
Последнее исправление: fargred (всего исправлений: 1)
Ответ на: комментарий от xtraeft

напомни последнюю из известных?

любую? пожалуйста

я разве писал, что запускаю что-то новое от рута? вроде бы речь о ssh шла

Я о том речь и вел, что OpenSSH - это еще ничего, там всё-таки за кодом тщательно следят.

Pinkbyte ★★★★★
()
Ответ на: комментарий от xtraeft

типичный такой софт для локалхоста админа, да уж.

У меня он стоит:

1) почти на всех Linux-серверах на работе;
2) на серваке - дома;
3) на десктопах - на работе и дома;

Где-то OSPF, где-то BGP.

Для меня - вполне типичный. Ну если хочется чего-то десктопного - пожалуйста

P.S. Не, я понимаю, что есть другие движки работы с PDF, но согласись, этот - один из самых распространенных под Linux.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от xtraeft

A remote attacker could entice a user to open a specially crafted PDF file, possibly resulting in execution of arbitrary code with the privileges of the process or a Denial of Service condition.

Ммм?

Pinkbyte ★★★★★
()

Толсто

Толстый тролль такой толстый

zed_0xff
()
Ответ на: комментарий от ivlad

сообщение на которое отвечал до конца прочитай, дружок.

maloi ★★★★★
()
Ответ на: комментарий от Pinkbyte

по той же логике можно локальные уязвимости в ядре назвать «remote».

«remote arbitrary code execution» - это когда какой-то дырявый сервис слушает наружу.

ну и как человек имеющий отношение к безопасности в одном дистрибутиве, ты почему-то промолчал о том, что sshd, по хорошему, должен быть прикрыт фаерволом от левых подсетей (как вариант, port knocking).

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 2)
Ответ на: комментарий от xtraeft

по той же логике можно локальные уязвимости в ядре назвать «remote».

если их выполнение можно вызвать удаленно, не прибегая к другим уязвимостям - то они таки «remote»

ты почему-то промолчал о том, что sshd, по хорошему, должен быть прикрыт фаерволом от левых подсетей (как вариант, port knocking).

Я не промолчал, я выяснял твоё отношение к безопасности. Ибо после фразы «ssh-ключ без пароля» я ожидал худшего. Рад что ошибался.

Pinkbyte ★★★★★
()
Ответ на: комментарий от l0stparadise

выслать это все зашифрованным письмом...

Да хоть открытым и «vasia». Зайдёт - сделает, как хочет. Только, естесвенно, слать через IM и чтоб заходил сразу.

AS ★★★★★
()
Ответ на: комментарий от Pinkbyte

любую? пожалуйста

А, теперь, расскажи, кого из OSPF-нейборов ты опасаешься. :-)
BGP там да, AS PATH прилететь и из далека может... Кстати, а что это они так долго ждали-то с обновлением ? До этого месяца аж.

AS ★★★★★
()
Ответ на: комментарий от AS

А, теперь, расскажи, кого из OSPF-нейборов ты опасаешься. :-)

У меня OSPF с удаленными филиалами(области там - другие, естественно) - всё никак руки не дойдут перейти на iBGP. Там админы - свои. Сомневаюсь, что будут мне ospfd ложить, но паранойя-то не дремлет :-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от AS

Кстати, а что это они так долго ждали-то с обновлением ? До этого месяца аж.

ты про выпуск GLSA или про апдейт самого пакета в Gentoo?

GLSA выпускается, когда версия без уязвимости стабилизируется на всех поддерживаемых архитектурах(точнее, на всех security-supported архитектурах). А насчет тормозов с добавлением новой версии - это я прослоупочил, как мэйнтэйнер.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.