LINUX.ORG.RU

Что используете для ssh?

 


2

2

Интересно все таки. Ну и аргументы «за» и «против», вроде «ключи можно потерять», «а пароли можно забыть».

  1. Пароли319 (28%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Ключи (без пароля)237 (21%)

    *********************************************************************************************************************************************************************************************************************************************

  3. Зависит от сервера235 (21%)

    *******************************************************************************************************************************************************************************************************************************************

  4. Ключи (с паролем)201 (18%)

    *********************************************************************************************************************************************************************************************************

  5. Не использую ssh129 (12%)

    *********************************************************************************************************************************

Всего голосов: 1121

★☆☆☆

Проверено: beastie ()

Ключи с паролём и ssh-agent.

beastie ★★★★★ ()

поначалу почти всегда с паролем. потом, когда покажется, что нужно часто и долго - использую ключи без паролей.

billic ★★ ()

А в чем профит ключей без паролей?

dvrts ★★★ ()

Временно пароли. Думал о создании ключа, но копыта не доходили.

a1batross ★★★★★ ()

Зависит от сервера

mic ★★★★★ ()
Ответ на: комментарий от Merkel

и на нестандартном порту

Ещё один покусанный.

beastie ★★★★★ ()
Ответ на: комментарий от Lothlorien

А что там настраивать? Али уже ssh-keygen (один раз) и ssh-copy-id лень запустить?

beastie ★★★★★ ()
Ответ на: комментарий от dvrts

А в чем профит ключей без паролей?

Хрен подберёшь. Если скопировать с гарантией никто не сможет - вполне секьюрно.

om-nom-nimouse ★★ ()

Ключи (без пароля)

Еще AllowUsers и нестандартный порт. Пароль на ключ всё лень поставить, а надо бы.

lu4nik ★★★ ()
Ответ на: комментарий от beastie

А что плохого-то, кроме паранойи? Если один человек заходит, то кому какая разница? Особенно если порт относится к какому-то дичайше редкому сервису.

lu4nik ★★★ ()
Ответ на: комментарий от lu4nik

В том, что это не имеет ну абсолютно никакого смысла, кроме разве что мастурбации на собственную семи-параною.

Скажу больше: ssh на несвоём протру — отличительная черта юнцов, пораха не нюхавших и других «неуловимых Джо».

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

В том, что это не имеет ну абсолютно никакого смысла

Ну почему, отбивает тупой брутфорс на 22 порт. Хотя я согласен, конечно, что разумней сделать нормальную авторизацию по ключам, чем порты перебивать.

Alsvartr ★★★★★ ()
Ответ на: комментарий от Alsvartr

Брутфорса бояться — и тырнет не ходить! ;)

И да, этот вопрос эфективно решается по другому, на уровне фаервола (pf) или fail2ban.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

В логах постоянно видел, что пытаются логинится под всякими там root, oracle, natasha и т.п. Самым быстрым решением показалось передвинуть порт. Кроме меня всё равно никто туда не подключается. Не вижу ничего плохого в этом, как, впрочем, и не вижу особой защиты в этом, но левые ботнеты больше не стучатся. А если кто захочет целенаправленно сломать мой домашний комп (зачем только?) - всё равно сломает.

Merkel ()
Ответ на: комментарий от Alsvartr

Собственно, в оригинальном сообщении я и написал, что ключ с паролем + передвинутый порт.

Merkel ()
Ответ на: комментарий от Merkel

Оно безобидное. Единственное, что не помешает — это PermitRootLogin no. (По непонятным причинам в линуксах стоит по умолчанию «yes».) Всё остальное — лишнее.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

PermitRootLogin - это само собой. А когда нет всяких левых попыток логина - моя паранойя спит :)

Merkel ()
Ответ на: комментарий от beastie

с нестандартным портом fail2ban тоже иногда банит брутфорсы

rbxx ()

Ключи. И давно в планах запретить логин по shh по паролю.

PGArchangel ()

Несколько ключей, все с паролями. Слава ssh-add.

leave ★★★★★ ()

пароль, либо ECDSA ключ без пароля

edit: ах да, и вход на серваки строго через VPN, никакого SSH наружу

jekader ★★★★★ ()
Последнее исправление: jekader (всего исправлений: 1)

Ключи конечно, но в основном без пароля.

renya ★★★★★ ()

пол лора используют пароли, остальная половина ключи без пароля. я разочарован.

Bers666 ★★★★★ ()
Ответ на: комментарий от beastie

Оно безобидное.

не всегда. бывало, на openvz контейнерах, при брутфорсе превышался лимит на какой-то размер сетевых буферов, и я зайти не мог по ключу.

Bers666 ★★★★★ ()
Ответ на: комментарий от beastie

Ога, безобидное %-))) я вот разок умудрился так криво настроить пам на одном из своих локалхостов, что он вместо ABL пускал всех с любым паролем %-)))

Это был случай, когда я ВЖИВУЮ видел линукс-вирус!!! Его ещё потом clamav гордо выловил.

Но несмотря на такие приколы, PermitRootLogin ставлю without-password, а не no. Потому как под юзерской учёткой там один фиг нечего делать :), а sudo без пароля - некрасиво как-то... А с паролем - ага, вот мне кайф его вводить потом, специально же ключ прописывал, чтобы вводить НЕ приходилось.

А, кстати, ssh дофига сканят из Китая. Как в анекдоте что ли - каждый китаец попробовал 1 пароль? Каждый второй китаец попробовал пароль «маоцзэдун»? На 500000000'ном китайце сервер согласился, что у него пароль «маоцзэдун»?

vitalif ★★★★★ ()
Последнее исправление: vitalif (всего исправлений: 1)
Ответ на: комментарий от dvrts

Представь, что у тебя есть сеть из нескольких хостов. Для обслуживания этой сети (ну там бэкапы сделать, аптаймы всех посмотреть, ну мало ли чего) тебе, скорее всего, захочется использовать скрипты и передавать команды по ssh, которому нужны либо пароли, либо ключи. С паролями сложнее - нужно делать обертки, которые будут их (эти пароли) вводить. При условии того, что доступ к тому хосту, с которого ты будешь «ходить» по остальным (например, это твой «админский» ПК) строго ограничен, ты можешь хранить на нем ключ, с которым ты и твои скрипты сможете посещать другие хосты.

На основе этого можно придумать и другие сценарии.

По сабжу - «зависит от сервера».

alozovskoy ★★★★★ ()
Последнее исправление: alozovskoy (всего исправлений: 1)
Ответ на: комментарий от alozovskoy

Маленький hint: если использовать ключи, то скрипты можно ограничить и на выполнение только какой-то определённой команды или группы комманд. Одним словом одни плюшки.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от vitalif

Посмешил. ;) А по поводу without-password — согласен, иногда не помешает.

beastie ★★★★★ ()
Ответ на: комментарий от Bers666

на openvz контейнерах

Есть ведь ещё vzctl enter <node> c root-node. А вообще, как я уже говорил выше — fail2ban спасает от всех этих переживаний.

beastie ★★★★★ ()

Ключи (без пароля)

А вообще удивляет количество человек не осиливших ключи

folibis ()

Как только узнал о ssh-copy-id везде использую ключи без пароля. Это безумно удобно.

Что там осиливать непонятно. Одна команда, один ввод пароля. Ну и предварительно надо сгенерить ключ ssh-keygen

Gordon01 ★★ ()
Последнее исправление: Gordon01 (всего исправлений: 1)
Ответ на: комментарий от tazhate

Ключи (без пароля)

кошачья морда, вот и жди когда их стырят.

oskar0609 ()

Выбрал «Зависит от сервера», но чаще всего ключи без пароля, но возможность зайти по паролю не отключаю.

shell-script ★★★★★ ()

Аргумент - Cisco (а к ним я подключаюсь чаще всего) вроде как не умеет ключи. Так что - в целях однообразия. Ж;-)

Cyril ★★ ()

С дома на работу - ключ с паролем, с работы домой - ключ с паролем (другим), дома между машинами - в основном ключи без пароля.

Кстати, кто-нибудь использует Ansys на линукс-кластере? Он у вас тоже требует беспарольного rsh-доступа на вычислительные узлы?

pianolender ★★★ ()

Ключи — это очень просто и несравнимо удобнее просто паролей.

Запароленные ключи — самую чуточку сложнее: достаточно запускать ssh-agent вместе с WM. Тогда оно будет спрашивать пароль (passphrase) один раз при запуске иксов, дальше будто никаких паролей вообще нет, хотя безопасность очень высока.

Для сисадминов и разработчиков просто must, иначе невозможно нормально работать.

amix ★★★ ()

Зависит от сервера, но для большинства использую ключи с паролем

Pinkbyte ★★★★★ ()

Ключи (с паролем)

меня угрозами заставили. Напугали, что меня взломают хакеры и выкрадут все данные.

darkenshvein ★★★★★ ()
Ответ на: комментарий от beastie

Есть ведь ещё vzctl enter <node>

неприменимо, если ты арендуешь контейнер (был мой случай).

Bers666 ★★★★★ ()

Пароли или ключи без пароля. Или и то, и другое.

CYB3R ★★★★★ ()

Пароли. Лень возюкаться с ключами. О безопасности ваще не задумывался...

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от Loki29

Пароли, т.к. ниасилил ключи.

ssh-keygen и ssh-copy-id — так сложно?

Ttt ☆☆☆☆☆ ()

Ключи с паролем.

А UsePAM и всякие PasswordAuthentication в no. Это небезопасно

lispfuerimmer ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.