Длина твоего пароля - 256 бит. Дефолтная длина ключа - 2048 бит. Если кто-то залезет на сервер по ключу, для sudo ему отдельно понадобится пароль. Ну и да, хоткей не нужен.

пароль надо писать, а ключ не надо.
лень побеждает

как будто пароль к ключу писать не надо (да, я знаю про agent).

как будто пароль к ключу писать не надо

у меня ключи без паролей

ну и зря

все супер, проблем нет

Вот у вас шесть серваков, они рядом с вами, вы админ - вам норм.

А представьте сферического коня, у которого несколько сотен серверов по всему миру, на все это добро десятка три админов, половина из них сидит на другом конце планеты и как-то им нужно доступ дать (более-менее мой случай). Вот и выбирайте - спросить у каждого админа его пароль (а ведь наверняка он захочет, чтобы не везде был одинаковый пароль, что логично), или просто взять у него публичный ключ?

Да, можно написать пароль в txt, который потом зашифровать, выслать это все зашифрованным письмом... Но стоит ли оно того?

На всех серверах debian stable. Есть смысл заводить ключи?

Ключ + пароль куда лучше, чем только пароль, какой бы длины он не был. Ну и можно сделать ключ без пароля — удобная вещь для всяких хитрых манипуляций сразу с кучей однотипных машин.

ну и в редких случаях sudo su.

sudo -i
sudo -s
Выбирай

сопрут твои ключи - вот тогда и поговорим

Да, можно написать пароль в txt, который потом зашифровать, выслать это все зашифрованным письмом... Но стоит ли оно того?

да. Зашифровать и подписать. Это и называется «ключ».

Есть смысл заводить ключи?

смотри: на сервере есть СКС и ПКС (ключи сервера, первый секретный)

На клиенте СКК и ПКК.

Защита заключается в том, что СКС и ПКС НИКОГДА не покидают свой компьютер.

В отличие от пароля, который уходит от тебя на сервер. И соответственно его можно перехватить

1. у тебя

2. по дороге

3. на сервере.

СКК можно выдрать лишь с твоего компьютера.

Ну и потом, можно иметь Over9000 РАЗНЫХ ключей к разным серверам. Это безопаснее, чем одна база с кучей паролей, и удобнее.

Задача подмены сервера тоже усложняется многократно. Сейчас тебе можно подсунуть обманку, и ты тупо как барашек, введёшь свой пароль на МОЙ сервер. А потом я буду по нему заходить не хуже тебя.

да, у ключа есть ещё один плюс: его можно ЗАБЫТЬ. Если я сделал систему, и потом стёр ключ, то я его вспомнить НЕ СМОГУ. Даже в паяльником в заднице. В лучшем случае я смогу только СЛОМАТЬ эту систему, но для этого я должен быть живым, здоровым, и не думать ни о чём постороннем.

И да, единственный ключ, который нельзя спереть: тот к которому применили процедуру shred. А вот забыть пароль — невозможно...

да, у ключа есть ещё один плюс: его можно ЗАБЫТЬ

А потом ехать к серверу или просить кого-то сгенерить новый, ага :)

А потом ехать к серверу или просить кого-то сгенерить новый, ага :)

дурная голова ногам покоя не даёт.

Чтобы можно было сделать так:

for i in alpha beta gamma ...; do ssh $i eject; done

Есть смысл заводить ключи?

Да. Хотя бы затем чтобы не вводить пароль который все равно у тебя будет всяко короче чем ключ.

каким образом?

тоже при отсутствии бэкапов - так что тезис про дурную голову в силе

через уязвимость в любом ПО, работающем с сетью и запущенным от пользователя, у которого хранятся ключи.

Или у тебя отдельный пользователь ТОЛЬКО для логина по ssh на другие машины?

через уязвимость в любом ПО, работающем с сетью и запущенным от пользователя, у которого хранятся ключи.

если она будет, то угон ssh ключей покажется детским лепетом

сразу делаю passwd -d

man passwd, ололош.

если она будет, то угон ssh ключей покажется детским лепетом

Угу, если ты админишь этим ключом кучу серверов(адреса которых сопрут из .bash_history или еще откуда-нибудь) - это не детский лепет. Это - полный факап. С паролем - у тебя есть хотя бы мизерный шанс успеть заменить ключи до того, как твои сервера поимеют.

Без пароля, в случае утечки ключа и серверов, на которые он подходит - шансы равны 0.

Надеюсь, про то, что даже по ключу не стоит логиниться сразу в рута(и вообще не стоит логиниться по удаленке сразу в рута) объяснять не надо? :-)

Угу, если ты админишь этим ключом кучу серверов(адреса которых сопрут из .bash_history или еще откуда-нибудь) - это не детский лепет. Это - полный факап. С паролем - у тебя есть хотя бы мизерный шанс успеть заменить ключи до того, как твои сервера поимеют.

я говорю о том, что если мой компьютер поимеют, увод ssh ключей самое нестрашное, что может приключиться.

Без пароля, в случае утечки ключа и серверов, на которые он подходит - шансы равны 0.

кейлоггеры не отменяли

Надеюсь, про то, что даже по ключу не стоит логиниться сразу в рута(и вообще не стоит логиниться по удаленке сразу в рута) объяснять не надо? :-)

всегда логинюсь сразу рутом, смеюсь над параноиками.

кейлоггеры не отменяли

Его внедрить все же сложнее, чем считать пару файлов. Особенно если они лежат по умолчальным путям.

всегда логинюсь сразу рутом, смеюсь над параноиками.

Ок, вопросов больше не имею

Его внедрить все же сложнее, чем считать пару файлов.

почти так же невозможно, как и считать пару этих файлов (права рута откуда возьмешь?)

почти так же невозможно, как и считать пару этих файлов (права рута откуда возьмешь?)

А ты из под рута логинишься на другие сервера по SSH? Или всё-таки от своего пользователя?

рутом

вообще, фигня все это теоретическая.

При наличии бэкапов тезис про забыть выглядит особенно глупым.

Сначала сопри.

фигня все это теоретическая.

Как человек, таки имеющий отношение к безопасности в одном дистрибутиве, говорю - таки не фигня. И даже не теоретическая.

Не, если обмазаться grsecurity с rbac, selinux-ом или app armor - то оно становится на порядок сложнее. А так - некоторые дыры, ведущие к remote arbitrary code execution делаются не просто, а очень просто.

Так что надо быть очень осторожным, когда запускаешь что-то новое от рута.

А так - некоторые дыры, ведущие к remote arbitrary code execution делаются не просто, а очень просто.

напомни последнюю из известных?

когда запускаешь что-то новое от рута.

я разве писал, что запускаю что-то новое от рута? вроде бы речь о ssh шла

если будет доступ к системе, то пароль не поможет все равно - на лоре даже были примеры кейлоггера, который работает без прав рута.

с ключом удобнее

если сопрут ключи
если будет доступ к системе
если я буду держать пароль на бумажке под клавиатурой
если я на обои повешу пароль от системы
если я прокричу на всё здание свой пароль от системы

sudo su

Дикарь.

напомни последнюю из известных?

любую? пожалуйста

я разве писал, что запускаю что-то новое от рута? вроде бы речь о ssh шла

Я о том речь и вел, что OpenSSH - это еще ничего, там всё-таки за кодом тщательно следят.

Quagga

типичный такой софт для локалхоста админа, да уж.

типичный такой софт для локалхоста админа, да уж.

У меня он стоит:

1) почти на всех Linux-серверах на работе;
2) на серваке - дома;
3) на десктопах - на работе и дома;

Где-то OSPF, где-то BGP.

Для меня - вполне типичный. Ну если хочется чего-то десктопного - пожалуйста

P.S. Не, я понимаю, что есть другие движки работы с PDF, но согласись, этот - один из самых распространенных под Linux.

Ну если хочется чего-то десктопного - пожалуйста

это разве «remote arbitrary code execution»?

A remote attacker could entice a user to open a specially crafted PDF file, possibly resulting in execution of arbitrary code with the privileges of the process or a Denial of Service condition.

Ммм?

man ssh-agent и про pam_ssh тоже прочитайте.

можно и на ключ добавить, че

Толсто

Толстый тролль такой толстый

сообщение на которое отвечал до конца прочитай, дружок.

по той же логике можно локальные уязвимости в ядре назвать «remote».

«remote arbitrary code execution» - это когда какой-то дырявый сервис слушает наружу.

ну и как человек имеющий отношение к безопасности в одном дистрибутиве, ты почему-то промолчал о том, что sshd, по хорошему, должен быть прикрыт фаерволом от левых подсетей (как вариант, port knocking).

по той же логике можно локальные уязвимости в ядре назвать «remote».

если их выполнение можно вызвать удаленно, не прибегая к другим уязвимостям - то они таки «remote»

ты почему-то промолчал о том, что sshd, по хорошему, должен быть прикрыт фаерволом от левых подсетей (как вариант, port knocking).

Я не промолчал, я выяснял твоё отношение к безопасности. Ибо после фразы «ssh-ключ без пароля» я ожидал худшего. Рад что ошибался.

выслать это все зашифрованным письмом...

Да хоть открытым и «vasia». Зайдёт - сделает, как хочет. Только, естесвенно, слать через IM и чтоб заходил сразу.

любую? пожалуйста

А, теперь, расскажи, кого из OSPF-нейборов ты опасаешься. :-)
BGP там да, AS PATH прилететь и из далека может... Кстати, а что это они так долго ждали-то с обновлением ? До этого месяца аж.

А, теперь, расскажи, кого из OSPF-нейборов ты опасаешься. :-)

У меня OSPF с удаленными филиалами(области там - другие, естественно) - всё никак руки не дойдут перейти на iBGP. Там админы - свои. Сомневаюсь, что будут мне ospfd ложить, но паранойя-то не дремлет :-)

Кстати, а что это они так долго ждали-то с обновлением ? До этого месяца аж.

ты про выпуск GLSA или про апдейт самого пакета в Gentoo?

GLSA выпускается, когда версия без уязвимости стабилизируется на всех поддерживаемых архитектурах(точнее, на всех security-supported архитектурах). А насчет тормозов с добавлением новой версии - это я прослоупочил, как мэйнтэйнер.