маунт умаунт

21й век на дворе.

Ключи с паролём и ssh-agent.

поначалу почти всегда с паролем. потом, когда покажется, что нужно часто и долго - использую ключи без паролей.

А в чем профит ключей без паролей?

Временно пароли. Думал о создании ключа, но копыта не доходили.

Зависит от сервера

и на нестандартном порту

Ещё один покусанный.

А что там настраивать? Али уже ssh-keygen (один раз) и ssh-copy-id лень запустить?

А в чем профит ключей без паролей?

Хрен подберёшь. Если скопировать с гарантией никто не сможет - вполне секьюрно.

Ключи (без пароля)

Еще AllowUsers и нестандартный порт. Пароль на ключ всё лень поставить, а надо бы.

А что плохого-то, кроме паранойи? Если один человек заходит, то кому какая разница? Особенно если порт относится к какому-то дичайше редкому сервису.

В том, что это не имеет ну абсолютно никакого смысла, кроме разве что мастурбации на собственную семи-параною.

Скажу больше: ssh на несвоём протру — отличительная черта юнцов, пораха не нюхавших и других «неуловимых Джо».

В том, что это не имеет ну абсолютно никакого смысла

Ну почему, отбивает тупой брутфорс на 22 порт. Хотя я согласен, конечно, что разумней сделать нормальную авторизацию по ключам, чем порты перебивать.

Брутфорса бояться — и тырнет не ходить! ;)

И да, этот вопрос эфективно решается по другому, на уровне фаервола (pf) или fail2ban.

В логах постоянно видел, что пытаются логинится под всякими там root, oracle, natasha и т.п. Самым быстрым решением показалось передвинуть порт. Кроме меня всё равно никто туда не подключается. Не вижу ничего плохого в этом, как, впрочем, и не вижу особой защиты в этом, но левые ботнеты больше не стучатся. А если кто захочет целенаправленно сломать мой домашний комп (зачем только?) - всё равно сломает.

Собственно, в оригинальном сообщении я и написал, что ключ с паролем + передвинутый порт.

Оно безобидное. Единственное, что не помешает — это PermitRootLogin no. (По непонятным причинам в линуксах стоит по умолчанию «yes».) Всё остальное — лишнее.

PermitRootLogin - это само собой. А когда нет всяких левых попыток логина - моя паранойя спит :)

с нестандартным портом fail2ban тоже иногда банит брутфорсы

Ключи. И давно в планах запретить логин по shh по паролю.

Несколько ключей, все с паролями. Слава ssh-add.

пароль, либо ECDSA ключ без пароля

edit: ах да, и вход на серваки строго через VPN, никакого SSH наружу

Ключи конечно, но в основном без пароля.

пол лора используют пароли, остальная половина ключи без пароля. я разочарован.

Оно безобидное.

не всегда. бывало, на openvz контейнерах, при брутфорсе превышался лимит на какой-то размер сетевых буферов, и я зайти не мог по ключу.

Не использую ssh

Ога, безобидное %-))) я вот разок умудрился так криво настроить пам на одном из своих локалхостов, что он вместо ABL пускал всех с любым паролем %-)))

Это был случай, когда я ВЖИВУЮ видел линукс-вирус!!! Его ещё потом clamav гордо выловил.

Но несмотря на такие приколы, PermitRootLogin ставлю without-password, а не no. Потому как под юзерской учёткой там один фиг нечего делать :), а sudo без пароля - некрасиво как-то... А с паролем - ага, вот мне кайф его вводить потом, специально же ключ прописывал, чтобы вводить НЕ приходилось.

А, кстати, ssh дофига сканят из Китая. Как в анекдоте что ли - каждый китаец попробовал 1 пароль? Каждый второй китаец попробовал пароль «маоцзэдун»? На 500000000'ном китайце сервер согласился, что у него пароль «маоцзэдун»?

Неужели RDP? :D

Представь, что у тебя есть сеть из нескольких хостов. Для обслуживания этой сети (ну там бэкапы сделать, аптаймы всех посмотреть, ну мало ли чего) тебе, скорее всего, захочется использовать скрипты и передавать команды по ssh, которому нужны либо пароли, либо ключи. С паролями сложнее - нужно делать обертки, которые будут их (эти пароли) вводить. При условии того, что доступ к тому хосту, с которого ты будешь «ходить» по остальным (например, это твой «админский» ПК) строго ограничен, ты можешь хранить на нем ключ, с которым ты и твои скрипты сможете посещать другие хосты.

На основе этого можно придумать и другие сценарии.

По сабжу - «зависит от сервера».

Маленький hint: если использовать ключи, то скрипты можно ограничить и на выполнение только какой-то определённой команды или группы комманд. Одним словом одни плюшки.

Посмешил. ;) А по поводу without-password — согласен, иногда не помешает.

на openvz контейнерах

Есть ведь ещё vzctl enter <node> c root-node. А вообще, как я уже говорил выше — fail2ban спасает от всех этих переживаний.

Ключи (без пароля)

А вообще удивляет количество человек не осиливших ключи

Как только узнал о ssh-copy-id везде использую ключи без пароля. Это безумно удобно.

Что там осиливать непонятно. Одна команда, один ввод пароля. Ну и предварительно надо сгенерить ключ ssh-keygen

Ключи (без пароля)

кошачья морда, вот и жди когда их стырят.

Вообще ничего такого.

Выбрал «Зависит от сервера», но чаще всего ключи без пароля, но возможность зайти по паролю не отключаю.

Аргумент - Cisco (а к ним я подключаюсь чаще всего) вроде как не умеет ключи. Так что - в целях однообразия. Ж;-)

пароли

С дома на работу - ключ с паролем, с работы домой - ключ с паролем (другим), дома между машинами - в основном ключи без пароля.

Кстати, кто-нибудь использует Ansys на линукс-кластере? Он у вас тоже требует беспарольного rsh-доступа на вычислительные узлы?

Ключи — это очень просто и несравнимо удобнее просто паролей.

Запароленные ключи — самую чуточку сложнее: достаточно запускать ssh-agent вместе с WM. Тогда оно будет спрашивать пароль (passphrase) один раз при запуске иксов, дальше будто никаких паролей вообще нет, хотя безопасность очень высока.

Для сисадминов и разработчиков просто must, иначе невозможно нормально работать.

Зависит от сервера, но для большинства использую ключи с паролем

Ключи (с паролем)

меня угрозами заставили. Напугали, что меня взломают хакеры и выкрадут все данные.

Есть ведь ещё vzctl enter <node>

неприменимо, если ты арендуешь контейнер (был мой случай).

Пароли или ключи без пароля. Или и то, и другое.

Пароли. Лень возюкаться с ключами. О безопасности ваще не задумывался...

Пароли, т.к. ниасилил ключи.

ssh-keygen и ssh-copy-id — так сложно?

Ключи с паролем.

А UsePAM и всякие PasswordAuthentication в no. Это небезопасно

А меня поломали один раз

Ключи (без пароля)