SSH: использование ключей

Как видно, при каждой передаче информации нам приходится вводить пароль. В чем здесь может таиться опасность? Будучи ответственным за безопасность данных, администратор обязан принимать во внимание тот факт, что пароль может быть подсмотрен во время набора, или попросту подобран. В любом случае, каждый набор пользователем пароля --- лишнее беспокойство для администратора.

Что касается огина руту, ... Вобще логиниться рутом это вообще неопр. штука. Вы как адм. читаете лги и видите, что кто-т логинился рутом и чт-то там понаделал, поэтому даже локальн не реком. логиниться рутом и что-т там понаделал.

Есть альтернативный способ. Мы тут д этого имели дело с ключами со сторны хоста. Пользователю не возмб иметь свой ключ персональный ssh-шный и раздавать открыте ключи, чтобы система аутентификации смотрела на список имеющихся ключей и видела, что этоимено тото пользователь.

Ключи акже утекают, но они не светятся и не передаются. Да, при утере носителя с ключём это равносильно разглашению пароля, на ключ мжн запарлить. Сгенерируем ключ.

Псмотрите локльный .ssh. Там появился id_rsa и .pub. посмтрим их права. Публичный доступен всем, закрытый тлько владельцу. Для обесп. логина п ключу на уд. машине, надо добавить ткр. ключ в файл authorized_keys.

Этого фалйа там не существует. Теперь вып. команду ssh-copy-id, которая есть только в альте. Это шеллскрипт, который занимается рвно тем, чт сказано. Если повторим команду ls, заметим, что теперь пароль не запрашивали, и увидим, чт файл появится.

Понятно, что ключом без пароля можн пользоваться только в пределах лок. сети. Поск. этт ключ лежит в файле, и он мжет утеч легче, чем парль. В конце концов, рут той машины взьмёт ваш ключ и зайдёт на уд. машину, где вы рут. Поэтому ключ следует защищать пассфразой. Пароль, ктрым мы защищ. этот ключ эт довольн важный пароль, пск. он позволяет восп. им для логина на всех машинах, где ежит ключ. Желательно, чтобы пассфраза не совп. с парлем.

Запихаем его тоже на уд. машину. Попрбуем залогиниться туда.ю треперь на спрашивает пассфразу. В чём же удбств? Не смотря на то, что кажется, что чем начали, тем и закочили, то сейчас есть удобство, и пароль тут дин: если 10 разных машин, у которых 10 разных паролей, более того, можно на уд. машинах можно вообще убить пароль, чтобы можно было логиниться тодлько по ssh. Ещё дин бонус --- пассфраза не передаётся по сети. Есть один сущ. недстаток --- если машина, за которой вы сидите небезопасна, и там кейлоггер, то утекает горазд больше, чем огин и пароль до конкретной машины.

Есть вариант ношения ключа на спец. флешках, есть модуль ссх, который умеет ей пользоваться, и тличие от хранения в файла в том, что ег нельзя считать. Недостаток в том, что часть пргр. реализ. перекладжывается на железку, котрая мжет не поддерж.

Тем не менее, в каком-то смысле мы всё равно, как начали, так и закончили, на показали конфетку --- беспарольный вход, но всё равно теперь надо вводить пассфразу, которая желательно должна быть круче, чем обычный пароль.

Для того, чтобы много раз пассфразу не хранить, есть ssh-agent, с точки зрения стартовой вы вводите пассфразу один раз, и дальше при ссх сначала ходит к агенту, спрашивает, а нет ли её у него, и всё.

Он запускается автматом (set| grep SSH), пск. эт всунуто в стартовые скрипты ПСПО, н мжно сделать это руками: ssh-agent/ Если сказать ssh-add -L, т увидим, что сейчас не добавлено ещё ни дного ключа. Дбавим наш ключ: ssha-add .ssh/id-rsa

Зайдём епщё раз. Видим, что пассфразу нас не просили, но при -v увидим, чт она использовалась.

Про переброс агнета: можно прделать след. штуку: при переходе на др. машину. Если сказать ssh -A, то при ssh-add мы увидим наш ключ. При заходе на уд. машину можно сказать прт, по которому можно обр. к ссх-агенту. Эт переменная окружения. Это штука потенциально опасная, потому что рут на той машине мжет свершенн спокойно восп. вашим агентом для получ. доступа на те сайты, на которых вы этим агентом пользуетесь. С другой сторны, носить с собой агента удобно, потому что с той машины можно хдить на третью и так далее.

У вас может быть некий дверенный хост, на котором и тлько на ём ледит закрытый ключ. Можно прделать след. штуку: можно зайти по парлю на доверенный хост, запустить здесь агента, сказать там ssh-add, чтобы нало кальной машине приехал оттуда ключ, чтобы с этим ключом ходить. То есть, у вас есть уверенность, чт ПО не модиф, но нет уверенности, что о псле вас не придёт человек и не задампает винчестер и потом не начнёт грубым перебором подбирать пассфразу.

Отн. ситуаций, когда вы не хотите хранить свй закр. ключ на конкретно этой машине.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

10

1

1

1

1

ConstantinYershow, GeorgeTarasov, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex