SSH com chave e senha
17 views
Skip to first unread message
Enio Marconcini -:- www.Enio.Pro.Br -:-
Jun 8, 2009, 3:50:40 PM6/8/09
to open...@googlegroups.com
Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
chegar a um acordo.
chegar a um acordo.
Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
do sistema (via /etc/passwd/shadow) ?
No ambiente de testes, consegui conectar normalmente usando chave, e
se eu removo a chave, então o SSH me pergunta pela senha do usuário.
A idéia é forçar que o SSH só permita acesso se o usuário tiver a
senha dele normal, mais a chave gerada.
abraços
--
ENIO RODRIGO MARCONCINI
www.Enio.Pro.Br
skype: eniorm
> Administrador de Redes e Professor Universitário
> Especialista em Redes de Computadores
> Análise de Sistemas e Banco de Dados
> Slackware Linux, OpenBSD e FreeBSD
> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
Leonardo Rezende
Jun 9, 2009, 6:52:41 AM6/9/09
to open...@googlegroups.com
Vai querer segurança assim lá na China... :)
2009/6/8 Enio Marconcini -:- www.Enio.Pro.Br -:- <eni...@gmail.com>:
2009/6/8 Enio Marconcini -:- www.Enio.Pro.Br -:- <eni...@gmail.com>:
Ananias Filho
Jun 9, 2009, 10:16:27 AM6/9/09
to open...@googlegroups.com
Isso é muito interessante Enio.
Irei procurar informações a respeito
bem bom isso ai....
--
kram3r
Irei procurar informações a respeito
bem bom isso ai....
2009/6/9 Leonardo Rezende <lreze...@gmail.com>
--
kram3r
Enio Marconcini -:- www.Enio.Pro.Br -:-
Jun 9, 2009, 10:40:48 AM6/9/09
to open...@googlegroups.com
Vinicius
Jun 11, 2009, 9:39:28 AM6/11/09
to open...@googlegroups.com
Enio, tenta da uma olhada no altpf, vc cria conta com chaves para o
altpf e deixa as regras da porta ssh só pra estabelecer a conexão e na
regra do altpf libera a porta com sua regra padrão.
Eu usei isso algumas vezes.
Espero que ajude.
--
Vinícius
altpf e deixa as regras da porta ssh só pra estabelecer a conexão e na
regra do altpf libera a porta com sua regra padrão.
Eu usei isso algumas vezes.
Espero que ajude.
--
Vinícius
Enio Marconcini -:- www.Enio.Pro.Br -:-
Jun 10, 2009, 8:14:02 PM6/10/09
to open...@googlegroups.com
sim bem interessante,
penso que somente com a chave já estaria bem seguro, acontece que por
necessidade tenho que conectar ao servidor a partir de mais de um
computador, o que me força ter que carregar a chave num pendrive, o
que eu não acho seguro, ou posso correr o risco (meio improvável,
mas...) de a chave ser copiada do meu computador, então basta a chave
para que alguém mal intencionado possa ter acesso ao servidor.
outro ponto importante é que, como pode ocorrer futuramente de outras
pessoas precisar acessar o shell do servidor, pela chave, eu corro o
risco de uma dessas outras pessoas "passar" a chave para outras, e
comprometer a segurança, é claro que o mesmo risco acontece com as
pessoas que possam ter a senha
mas esse lance de autenticação usando chave e a senha de usuário
realmente seria muito bom... tenho discutido esse assunto na lista
freebsd-br do FUG e lá chegamos a conclusão que isso é impossível,
infelizmente.
abraço
2009/6/9 Ananias Filho <kra...@gmail.com>:
penso que somente com a chave já estaria bem seguro, acontece que por
necessidade tenho que conectar ao servidor a partir de mais de um
computador, o que me força ter que carregar a chave num pendrive, o
que eu não acho seguro, ou posso correr o risco (meio improvável,
mas...) de a chave ser copiada do meu computador, então basta a chave
para que alguém mal intencionado possa ter acesso ao servidor.
outro ponto importante é que, como pode ocorrer futuramente de outras
pessoas precisar acessar o shell do servidor, pela chave, eu corro o
risco de uma dessas outras pessoas "passar" a chave para outras, e
comprometer a segurança, é claro que o mesmo risco acontece com as
pessoas que possam ter a senha
mas esse lance de autenticação usando chave e a senha de usuário
realmente seria muito bom... tenho discutido esse assunto na lista
freebsd-br do FUG e lá chegamos a conclusão que isso é impossível,
infelizmente.
abraço
2009/6/9 Ananias Filho <kra...@gmail.com>:
Leonardo Rezende
Jun 12, 2009, 1:02:42 PM6/12/09
to open...@googlegroups.com
Enio,
Talvez você pudesse adora uma política de troca de chaves com uma
certa frequência. Tipo semanal... Claro que você teria que arrumar uma
forma de automatizar isso. Não acho que o altpf vai resolver o
problema já que o problema é na autenticação inicial.
2009/6/10 Enio Marconcini -:- www.Enio.Pro.Br -:- <eni...@gmail.com>:
Talvez você pudesse adora uma política de troca de chaves com uma
certa frequência. Tipo semanal... Claro que você teria que arrumar uma
forma de automatizar isso. Não acho que o altpf vai resolver o
problema já que o problema é na autenticação inicial.
2009/6/10 Enio Marconcini -:- www.Enio.Pro.Br -:- <eni...@gmail.com>:
Ananias Filho
Jun 11, 2009, 4:25:31 PM6/11/09
to open...@googlegroups.com
Bom,
o que fiz uma vez foi:
- implementar um sistema WEB para controle de acesso pelo ip identificado (php + pf) onde eu entrava via http no sistema e cadastrava o ip q eu iria acessar via web. dai o sistema incluia o ip em uma regra do pf para liberar acesso ssh ao ip e em seguida, eu acessava via ssh pois o ip estava liberado.
Gambiarra? sim (ou talvez) mas foi a melhor maneira que encontrei para solucionar o problema de um cliente.
--
kram3r
o que fiz uma vez foi:
- implementar um sistema WEB para controle de acesso pelo ip identificado (php + pf) onde eu entrava via http no sistema e cadastrava o ip q eu iria acessar via web. dai o sistema incluia o ip em uma regra do pf para liberar acesso ssh ao ip e em seguida, eu acessava via ssh pois o ip estava liberado.
Gambiarra? sim (ou talvez) mas foi a melhor maneira que encontrei para solucionar o problema de um cliente.
2009/6/11 Vinicius <vinici...@gmail.com>
--
kram3r
Reply all
Reply to author
Forward
0 new messages