Комментарии: SSH-сервер: вопросы безопасности

Автор: ebreo

ebreo — Fri, 23 Apr 2010 12:55:37 +0000

Угу… неплохо… как раз начал изучать ssh…

Автор: Juev

Juev — Tue, 01 Dec 2009 11:49:21 +0000

Без мистики никуда… =)

Автор: storm

storm — Tue, 01 Dec 2009 09:42:40 +0000

Это какая то мистика. Захожу сегодня на сервер, где настраивал аунтификацию по ключам, и…он у меня запрашивает пароль ключа. И подключается по ключу. При этом я ничего со вчерашнего дня не менял. Разве что выключал свою рабочую станцию которая под debian squeeze на ночь.

Автор: Juev

Juev — Mon, 30 Nov 2009 15:53:28 +0000

Очень странно, вроде все ок, но не работает… Даже и не знаю, чем помочь тогда. Попробуйте переконфигурировать с нуля, только настройки меняйте по чуть-чуть, контролируя, работают ли нужные функции на данном этапе.

Автор: storm

storm — Mon, 30 Nov 2009 14:42:42 +0000

Как Вы описали. Визуальный контроль ключа на сервере и ключа на клиенте показал совпадение обоих.

Автор: Juev

Juev — Mon, 30 Nov 2009 13:30:33 +0000

пока ошибок не вижу… а как передавали на сервер открытый ключ??

Автор: storm

storm — Mon, 30 Nov 2009 10:33:06 +0000

Port 22
Port 22222
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
AllowUsers user@*

Автор: Juev

Juev — Mon, 30 Nov 2009 10:11:36 +0000

Проверьте, включено ли в ssh авторизация по ключу. По симптомам она запрещена.

Автор: storm

storm — Mon, 30 Nov 2009 09:54:46 +0000

Что делать если при попытке соединиться появляется ошибка
Agent admitted failure to sign using the key
И авторизация проходит только по паролю, но не по ключу.

Автор: Juev

Juev — Fri, 04 Sep 2009 03:01:05 +0000

хороший совет! спасибо!

Автор: Juev

Juev — Fri, 04 Sep 2009 03:00:45 +0000

по своей сути, на сегодняшний день, что dsa, что rsa, дело только во времени, которое нужно будет заполучить.
что то ломается быстрее, что то медленнее, однако оба типа ключа безопасны…
даже если скрываетесь от государства, любой из этих ключей даст необходимое время для передачи актуальной информации, перехват которой будет в любом случае произведен уже после того, как информация устарела.

Автор: Alex Aster

Alex Aster — Thu, 03 Sep 2009 22:18:28 +0000

А еще можно открыть доступ только для одного юзера и назвать его типа «gikhfrth».
И в sshd_config добавить
«AllowUsers gikhfrth»
Все остальные, вместе с рутом будут отметаться

Автор: ва

ва — Thu, 03 Sep 2009 21:44:38 +0000

dsa ключи уж предпочтительней будут, если мы подняли тему безопасности

Автор: Juev

Juev — Sun, 16 Aug 2009 15:14:51 +0000

неужели ошибся??

Автор: evg-krsk

evg-krsk — Sun, 16 Aug 2009 15:13:51 +0000

Про ListenAddress – LOL