Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: védekezés sshd törési kísérletezge tések ellen

4 views
Skip to first unread message

Makó Gábor

unread,
Aug 9, 2005, 3:53:13 AM8/9/05
to
--------- Eredeti üzenet --------
> Nagy Zoltán wrote:
>
> Keresztkérdés: miért engeditek a password-ös
> belépést? Ha csak azok
> tudnak belépni, akiknek a kulcsa megvan, akkor
> kisérletezhet amennyit
> csak akar...
>

Ez engem is erdekel.
Hogyan lehet ezt az ssh-nal bekonfiguralni/beallitani?

G.

________________________________________________
Message sent using UebiMiau
@ mailmax.hu 2.7.2

_________________________________________________
linux lista - li...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Medovárszky Zoltán

unread,
Aug 9, 2005, 2:10:16 AM8/9/05
to

Makó Gábor wrote:

>Ez engem is erdekel.
>Hogyan lehet ezt az ssh-nal bekonfiguralni/beallitani?
>

Brief megoldás

sshd_conf:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Passwordauthentication no
UsePAM no

Ezek általában benne vannak a default configban, csak más értékkel.
sshd-t újraindítod.

Kulcs generálása a usernek:
su - usernév
ssh-keygen -t rsa -b 1024 (nem érdemes 2048 biteset használni, mert
annyival nem jobb mint amennyi lassulást eredményez)
Most van egy ~usernév/.ssh/id_rsa és id_rsa.pub fájlod.
id_rsa.pub -ot átnevezed authirized_keys -re.
id_rsa -t odaadod a usernek (nem küldöd át plain emailben, csak
titkosítva!), majd letörlöd a .ssh könyvtárból.
A user homedirjét és a .ssh könyvtárat és annak tartalmának
jogosultságait 0700 illetve 0600 -ra állítod.

Ha ringyóz alol szeretné használni putty-val a kulcsát, akkor a putty
site-ján van egy puttygen, amivel importálni tudod a kulcsot, és
kiexportálni .PPK fájlba, amit a putty is ért (itt figyelj arra, hogy
1024 és RSA legyen az exportnál).

Remélem nem hagytam ki semmit, majd kijavítanak ha igen.
Igor

SANDOR Gabor

unread,
Aug 10, 2005, 1:10:02 AM8/10/05
to


> id_rsa.pub -ot átnevezed authirized_keys -re.

authorized_keys...

Ez egyébként attól függ, hogy mi van beállítva az
/etc/ssh/sshd_config-ban. sshd verziók és ssh verziók (1 v. 2) között
ebben lehet eltérés.

> id_rsa -t odaadod a usernek (nem küldöd át plain emailben, csak
> titkosítva!), majd letörlöd a .ssh könyvtárból.

A user a kapott fájlt másolja be a távoli gépén (_ahonnan_ be akar
lépni) a ~/.ssh könyvtárba és magyarázza el az ssh-jának, hogy ez a
privát kulcsa /etc/ssh/ssh_config).

--
SaGa
SANDOR Gabor <sa...@axelero.hu> UIN: 179037437
gpg key fingerprint = 6D88 35BB 4607 F533 7419 210A 27F9 7270 0410 A7FA

Vadász Zoltán B.

unread,
Sep 3, 2005, 1:09:53 PM9/3/05
to

Sziasztok!

,--- SANDOR Gabor írta, 2005, Aug 10(Wed), 07:10 perckor (zóna: +0200):
| A user a kapott fájlt másolja be a távoli gépén (_ahonnan_ be akar
| lépni) a ~/.ssh könyvtárba és magyarázza el az ssh-jának, hogy ez a
| privát kulcsa /etc/ssh/ssh_config).

`------

Szép dolog a kulcs alapú authentikáció, csak egyetlen baj van vele:
a géped pont olyan "biztonságos" lesz, mint azon gépek összessége ahol
kulcsot tárolnak, amivel be lehet hozzád lépni.
Továbbá - amiért többnyire a chipkártyák is "befuccsolnak" - az
emberi tényező nagyban ront ezen a fényes képen: a felhasználó, amikor
"költözik" gondatlanul fogja kezelni a kulcsát, nem fogja olyan
mértékben védeni a gépét, mint te szeretnéd.

A jelszóval védett kulcsok egy másik eset, de ekkor (kevés jól
képzett felhasználótól eltekintve) a jelszó vagy bagatel lesz, vagy egy
papírfecnin fog landolni, ha te generálod a kulccsal együtt ...

Épp ezért én jobb szeretem a lejáró erős jelszavakat, az ssh-ban meg
nincs mese meg kell bízni, vagy nem kell használni.

zoli
--
It is never too late to have a happy childhood.

0 new messages