Yolculuk sırasında otellerden bir sunucuya SSH ile bağlanmak gerçekten güvenli mi?

13

Seyahat sırasında otellerden SSH kullanarak bir sunucuya bağlanmak gerçekten güvenli mi?

Sunucu :
- CentOS 7
- Yalnızca RSA anahtarıyla yetkilendirme - parola yetkilendirmesi reddedildi
- Standart dışı bağlantı noktası

İş istasyonu :
- Ubuntu 14
- kullanıcı şifresi
- RSA anahtarını kullanmak için şifre (standart yöntem)

Özel RSA anahtarının yarısını bir USB çubuğunda tutmak iyi bir fikir olabilir ve bağlanmadan önce otomatik olarak (yarısı tarafından) bu yarıyı ~ / .ssh / private_key'e ekleyebilir misiniz?

İnternet, otellerde WIFI veya kiralık bir dairede kablo aracılığıyla olacaktır.

UPD
İlk başta belirsiz olduğum için üzgünüm. Burada iki açıdan güvenlik demek istiyorum:

  1. Güvenilmeyen bir ağ üzerinden yalnızca SSH bağlantısının güvenliği.
  2. SSH bağlantısı için gerekli anahtarlı bir bilgisayarın güvenliği - çalınırsa, sunucunun nasıl korunacağı ...
security  physical-security 
Sergey Serov
kaynak
Hangi yarı RSA anahtarı? Ssh ana bilgisayar anahtarının genel kısmı? Kullanıcı ssh anahtarınızın özel bölümünün yarısı mı?
andol
tabii ki özel RSA anahtarımın yarısı :) ve otomatik olarak sunucuya bağlanmadan önce bu yarıyı ~ / .ssh / private_key'e eklemek için.
Sergey Serov
Linux çalıştırdığınız için zaten pek çok kişiden daha güvendesiniz. Son sürümleri çalıştırdığınızdan, daha güçlü kriptoyu destekleyen yeni OpenSSH sürümlerine sahip olmalısınız. Tecmint.com/5-best-practices-to-secure-and-protect-ssh-server'ı takip ettikten sonra kendinizi stribika.github.io/2015/01/04/secure-secure-
civcivler
3
@chicks "Linux çalıştırdığınız için çoğu insandan daha güvenli" demek aptalca bir şey. SSH, Linux, Unix (Mac) veya Windows üzerinde çalışmasına bakılmaksızın SSH'dir. Ve yakın geçmişte Linux'ta çok ciddi güvenlik kusurlarına işaret edebiliriz (Heartbleed, kimse?). Sadece, aptal OS alev savaşlarını ait oldukları kenarlarda bırakalım, çünkü gerçek sorulardan ve sorunlardan uzak duruyor. Teşekkürler! ;-)
Craig
2
@ chicks Sanırım iletmeye çalıştığım şey buydu. Tüm işletim sistemlerinde çok sayıda güvenlik sorunu var ve Microsoft birkaç yıl önce "güvenilir bilgi işlem *" inisiyatiflerine başladıktan sonra muazzam adımlar attı.
Craig

Yanıtlar:

25

Yani, açıkça güvenilmeyen bir bağlantı üzerinden ssh bağlantısı kurma konusunda.

Önceki bir bağlantıdan zaten bir ~ / .ssh / known_hosts girdiniz olduğunu varsayarsak, ağın güvenli olup olmadığı konusunda endişelenmeden bağlanabilmeniz gerekir. Aynı ssh ana bilgisayar anahtarını doğrulamak için başka araçlarınız varsa da geçerlidir.

Daha önce sunucuya hiç bağlanmadıysanız veya ssh ana bilgisayar anahtarını doğrulamanın başka bir yoluna sahip değilseniz, bağlanmak için kullandığınız ağ konusunda daha dikkatli olabilirsiniz.

andol
kaynak
Teşekkür ederim!! Yani herhangi bir halka açık wi-fi üzerinden sunucuya SSH ile bağlanmak güvenli midir?
Sergey Serov
7
Aslında, bu cevap uzak bir sunucuya ssh yapmak istediğiniz herhangi bir durum için geçerlidir ve yolun herhangi bir kısmı tam kontrolünüz altında değildir (bu yüzden pratik olarak ssh-ing'den yeni kurulmuş bir yerel ana bilgisayara veya bir çapraz bağlantı kablosuna kadar herhangi bir şey) )
Hagen von Eitzen
6
İstemci ana bilgisayar anahtarını bilmiyorsa, şifre kimlik doğrulaması kullanılırsa tam bir MITM saldırısının mümkün olacağını fark etmek gerekir. Ancak, anahtar tabanlı kimlik doğrulama kullanılırsa, saldırgan yalnızca sunucuyu taklit edebilir. Saldırgan, gerçek sunucunun kimliğini doğrulayamaz. Bir saldırganın bu durumda ikna edici bir kimliğe bürünme sağlaması zordur, bu nedenle çok geç olmadan bir şeyin yanlış olduğunu fark edebilirsiniz. Kısacası: ortak anahtar kimlik doğrulaması, şifre kimlik doğrulamasından çok daha güvenlidir .
kasperd
2
@kasperd: Bağlanan istemcide aracı iletme etkinleştirilmişse, ortak anahtar kimlik doğrulaması bile tam MITM deneyimi sağlayabilir. Ancak, genel anahtar kimlik doğrulaması, her gün normal şifreler için kesinlikle tercih edilir.
andol
1
@kasperd: Birisinin sadece ajan yönlendirmeyi keşfettiğini, ancak tam olarak anlamadığını, ~ / .ssh / config dizinine "Host * \ n \ tForwardAgent yes" gibi bir şey koyarak kolayca hayal edebiliyorum. İnsanlar çılgınca şeyler yapar :-)
andol
11

Sorunuzun ikinci bölümünde, dizüstü bilgisayarınızın çalınmasından ve bununla birlikte, şifresiz SSH'nizin sunucularınıza giriş için özel anahtarlarınızdan endişe duyuyorsunuz.

Bunun "şifrelenmiş" özel anahtarları bir "parola" ile depolayarak kolayca çözülebileceğini (özel anahtar sorunu) unutmayın: ssh-keygen yardımcı programı ile oluştururken, sonunda bir parola sağlayarak başlangıçta şifrelenebilirler . oluşturma işlemi veya zaten şifrelenmemişse, seçenekli ssh-keygen yardımcı programını kullanarak -p. Anahtar şifrelendikten sonra, her girişte ilgili parolayı girmeniz istenir ve ... doğruysa, her şey normal şekilde ilerler.

Ayrıca, ssh istemcisini her başlattığınızda parolayı girmek istemiyorsanız, ssh-agent'ı kullanabilirsiniz : şifrelenmemiş özel anahtarların izini bellekte tutabilir. Şifrelenmiş anahtarı tutan dosyaya ssh-add işaretini çalıştırabilir ve parolayı sorduktan sonra, anahtar ssh-agent tarafından yönetilen kümeye eklenir. Daha sonra, SSH istemcisi parola korumalı bir anahtar gerektirdiğinde, ssh-agent ssh istemcisine şeffaf olarak ilgili şifrelenmemiş özel anahtarı sağlar. Bu nedenle, sizin için etkileşimli olarak girmenize gerek yoktur.

Ssh-agent'ın çok sayıda anahtarı yönetebileceğini ssh-addve giriş / başlangıç ​​zamanında yardımcı programı başlatmak (ssh-agent anahtar kümesini doldurmak için) dizüstü bilgisayarınızı / masaüstünüzü "ayarlayabileceğinizi" lütfen unutmayın .

Ayrıca, birisi dizüstü bilgisayarınızı çaldığında, özel anahtarlarınız muhtemelen vereceğiniz tek "hassas" içerik değildir: günümüzün Linux masaüstü dağıtımlarında şifreli bir dizüstü bilgisayar kurmanın ÇOK kolay olduğunu unutmayın. "dosya sistemi ( /homebir başlangıç ​​olarak, ancak bütün /gerekirse). Lütfen bunu da düşünün.

Tüm yukarıda, belli ki, yok DEĞİL eğer geçerli YAPMAYIN güvenmek KENDİ notebook.

Not: Farklı ortamlar üzerinde şifrelenmemiş özel anahtarın iki yarısını saklamak için olasılığı olarak: Ben kuvvetle sen tavsiye değil ikisini tutarak daha çok daha kötü olduğunu şifrelenmemiş biçimde hassas içerik iki parça sağlanması gibi bunu yapmak için tüm içeriğin tam kopyaları, şifreli!

Damiano Verzulli
kaynak
5

Sorunuzun ilk kısmı önceki yanıt tarafından zaten yanıtlanmıştır. İkinci bölümünüze göre, pam_google_authenticator kullanarak ssh girişinize ikinci bir faktör eklemenizi tavsiye ederim. Herhangi bir dağıtımda kurulumu ve yapılandırması oldukça kolaydır. Taşıdığınız özel anahtarın çalınması durumunda, google-authenticator'dan TOTP onetime şifresi olmadan sunucunuza giriş yapamazlar.

https://www.howtoforge.com/tutorial/secure-ssh-with-google-authenticator-on-centos-7

Arul Selvan
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.