- This topic has 8 hozzászólás, 3 résztvevő, and was last updated 11 years, 8 months telt el by
.
-
Bejegyzés
-
Sziasztok!Távolról próbálok bejelentkezni a gépre, de azt írta ki, hogy valaki megpróbál lehallgatni, vagy csak megváltozott a gép RSA kulcsa. Egyszer már ez előfordult, akkor igen-t nyomtam, hogy tárolja el az új kulcsot, de most valami gyanús. Eltárolta most is a kulcsot, de nem fogadja el a jelszót, pedig nem emlékszem, hogy megváltoztattam volna...Tegnap otthon direkt feljegyeztem az RSA kulcsot (belső hálózatból kapcsolódva) most meg (3G-ről) próbálom és tényleg ne az volt a kulcs.Mi ilyenkor a teendő? Vagyis általában... Mindig el kell fogadni az új kulcsot, vagy kell előtte ellenőrizni valamit?KösziToPe
Hát magához a hálózathoz nem tudok hozzászólni, de a kulcsokról szólva:- Ha biztonságosan kezeled a privát kulcsodat (meg a másik fél is), akkor csak a publikus kulcshoz juthat hozzá. Azaz, amit küldesz, azt nem tudja visszafejteni, viszont az aláírásodat tudja hamisítani és tud a nevedben küldeni valamit.- Mindenesetre egy kulcsnak lehet lejárati ideje. Ha pl. nagy eséllyel el akarom kerülni az előző pontot, akkor a) rögtön visszaigazolást kérek másiktól, b) a kulcsnak minél hamarabbi lejárati időt adok. Paranoia, de szélsőséges esetben egy kulcs csak egyszer kerül használatra, a publikus kulcs más úton jut el. (További biztonság trükkök is vannak, de ezt paranoiából nem árulom el egy nyilvános fórumon. :DDD)
Nem igazán értek még a Linux-hoz és a kulcsok kezeléséhez, most próbálok rájönni.A távoli gépen lefuttattam az ssh-keygen -t rsa parancsot, amire generált egy kulcsot, de tőlem kérdezte, hogy hova tegye, meg még valamit, amit nem értettem. Feljegyeztem az új kulcsot, de nem azt adta be becsatlakozáskor. PuTTY-al nem is látom a kulcsot, a bejelentkezés pedig továbbra sem megy, nem enged be. Ilyenkor a jelszó, amit írok, az rossz kezekbe kerül? Este tudom csak megváltoztatni... Ha valaki lefülelt, és bepróbálkozott, azt hogy tudom megnézni? Hol loggolja?ToPe
Először is nem egy kulcs kell, hanem egy kulcs pár. (A másik irányba történő azonosításhoz egy másik.)A publikus kulcsot viszed át a másik gépre (pub kiterjesztés), a másikat tartod meg. (Az, hogy generáláskor hova teszed az mindegy, alapértelmezés a saját könyvtár egy alkönyvtára.)Ez linux-linuxra van megírva, de nagyon részletes:http://www.gentoo.org/doc/en/articles/openssh-key-management-p1.xmlMeg tudsz adni jelszó nélküli azonosítást. Ebben az esetben a fellépés automatikus, utána az adott (definiált/az épp használatban lévő) felhasználó jelszava kell csak.pl. ~/.ssh/authorized_keys helyett ~/.ssh/known_host is működik. (Nem tudom melyik az újabb/preferált.)
feljegyzés wrote:This key is in the format that is supported by OpenSSH 2 and will not work with PuTTY without first using PuTTYgen to convert it to the format supported by PuTTY.Azt hiszem két különböző dologról beszélünk…Ha jól értem, van a publikus kulcs (amit eddig használtam), és van a saját kulcs, amit az ssh-keygennel lehet létrehozni.Amikor először csatlakozom a klienssel, akkor megkérdezi, hogy eltárolja-e az RSA ujjlenyomatot (gondolom ez a public key) és a következő csatlakozáskor ezt ellenőrzi, és figyelmeztet, ha nem egyezik. Ez lehet most nálam, csak én mondtam, hogy tárolja el az új kulcsot (mert nincs más választásom). Eltárolta, de azóta sem enged be. Az is lehet, hogy nemis az én gépemre csatlakoztam be, hanem valaki tényleg szivat, és az ő gépére küldözgetem a jelszót, amivel ki tudja mit csinál.Én ezt úgy tudom elképzelni, hogy a távoli gépen generálok egy public key-t, amit feljegyzek, hogy a becsatlakozáskor kiírtakkal össze tudjam hasonlítani. Ha egyezik, akkor az én gépem az, ha nem, akkor valaki sumákol.Azt írtad, hogy kulcs párról van szó, de sem a PuTTY-nál, sem az Androidnál nem látom, hogy hol tárolja és mit tudok vele kezdeni.
Azt hiszem két különböző dologról beszélünk...Ha jól értem, van a publikus kulcs (amit eddig használtam), és van a saját kulcs, amit az ssh-keygennel lehet létrehozni.Amikor először csatlakozom a klienssel, akkor megkérdezi, hogy eltárolja-e az RSA ujjlenyomatot (gondolom ez a public key) és a következő csatlakozáskor ezt ellenőrzi, és figyelmeztet, ha nem egyezik. Ez lehet most nálam, csak én mondtam, hogy tárolja el az új kulcsot (mert nincs más választásom). Eltárolta, de azóta sem enged be. Az is lehet, hogy nemis az én gépemre csatlakoztam be, hanem valaki tényleg szivat, és az ő gépére küldözgetem a jelszót, amivel ki tudja mit csinál.Én ezt úgy tudom elképzelni, hogy a távoli gépen generálok egy public key-t, amit feljegyzek, hogy a becsatlakozáskor kiírtakkal össze tudjam hasonlítani. Ha egyezik, akkor az én gépem az, ha nem, akkor valaki sumákol.Azt írtad, hogy kulcs párról van szó, de sem a PuTTY-nál, sem az Androidnál nem látom, hogy hol tárolja és mit tudok vele kezdeni.
Na, akkor mégegyszer mert még mindig nem érted a lényegét.Ha egy kulccsal (jelszó) azonosítod a tartalmat, akkor azt nem lehet biztonságosan megtenni, mert vagy mindenki hozzáfér, vagy senki. Nyilvános csatornán nem tudod eljuttatni. Erre találták ki a két kulcsod rendszert, mellyel az egyikkel titkosítasz, másikkal feloldasz.Ez azért jó, mert azt a kulcsot, amivel titkosítanak nyugodtan nyilvánosságra hozhatod, hisz azzal csak titkosítani lehet és ezt csak te tudod visszafejteni. Tehát normális körülmények között a legrosszabb ami történhet, hogy olyan titkosít a kucsoddal (melyet a titkosítás után csak te fogsz érteni), akire nem vagy kíváncsi.Nem normális körülmények között az egyetlen visszaélési lehetőség, ha valaki a te/más nevében tesz fel publikus kulcsot. Normális körülmények között ennek nincs értelme. De ezt megakadályozni csak úgy tudod, ha más forrásból megadod az elektronikus aláírásodat (számsor), melyből kiderül az nem te vagy, az meg te vagy.A jelszó pedig nem a kódoláshoz, hanem a visszafejtéshez kell, csakúgy, mint a privát kulcs. Ezért nem szabad ezeket megosztani. Így ezeket a jelszavakat nem küldöd el sehova.Persze ezen kívül küldhetsz felhasználói nevet és jelszót a másik gépre való bejelentkezéshez. A titkosítás erre csak rátesz, hogy e jelszó titkosítva legyen küldve a hálózaton, azaz ne tudják lehallgatni. Persze az egész kommunikáció titkosítva van.Mint említettem lejárhatnak kulcsok. Itt maximum ennyivel szivathatnak, ha ezt annak lehet nevezni. A jelszódnak ehhez viszont nincs köze. Kivéve - természetesen -, ha a sajátod jár le.A jelszavad nélkül a saját kulcsodat pedig érvényteleníttetni sem tudják.A te általad elküldött és fogadott publikus kulcs nem fog megegyezni. Mint említettem a két irányú (nem feltétlenül kötelező) titkosításhoz két külön kulcspár kell.A távoli gépen nem biztos, hogy van engedélyed, de az nem fog megegyezni semmivel. Sőt, ha a saját gépeden generálsz egymás után két kulcsot, az sem fog megyegyezni. Ennek pont ez a lényege, hogy véletlenszerű legyen és ne lehessen tudni, hogy mi lesz legközelebb.Amint említettem van egy mód az azonosításra, hogy megnézed, hogy mivel van aláírva a publikus kulcs. De, mint említettem hiteles forrás hiányában (ha ugyan a bejelentkezési ip-t nem tekintjük annak) nincs sok értelme.A privát kulcsok ilyen vizsgálatának meg eleve nincs értelme, hisz azokat te generáltad.Azt, hogy putty/windows hol tárolja az importált kulcsokat, azt nem tudom. A linux disztribúcióknál ez ~./ssh, /etc/ssh környékén szokott lenni openssh esetén, ha nincs más útvonal megadva -elvileg bármi is lehet.
Köszönöm a leírást!Ha jól értem, igazából semmilyen kulcsot nem használtam eddig az azonosításhoz, csak a jelszót, aminek az átvitele nincs titkosítva, tehát érdemes lenne valamilyen kulcsot használni.Ezt abból gondolom, hogy Androiddal ha kapcsolódom, akkor sorban próbálgatja, hogy mivel tud azonosítani:1. Próbálkozás 'publickey' azonosítással...2. Próbálkozás 'keyboard-interactive' azonosítással3. Próbálkozás 'password' azonosítással...Az az érdekes, hogy kapcsolódáskor kiírja az azonosított gép RSA kulcsát, ami most egy ismeretlen sorozat. Ha az otthoni gépet elérem (most csak belső hálózatból), vagy a cégnél lévőt, akkor ugyanaz az RSA számsor olvasható, ami lehet, hogy a bP tipikus azonosító jele, nem tudom.Jól értem, akkor amit az ssh-keygen lementett privát kulcsot, át kellene másolnom a kliens gépre és megadni, hogy ezt a kulcsfájlt használja azonosításra és ne jelszóval?Egy dologra este rájöttem. Az a gép, ahova próbálok bejelentkezni nem az én gépem! Ezért nem enged be a jelszavammal. Mikrohullámon kapom a netet és olyan antennám van, ami router is egyben. Most vagy ebben van egy linux oprendszer, aminek a hozzáférését távolról engedélyezte a szolgáltató a 22 porton, vagy köztünk valahol van valaki. Kikapcsoltam a gépem és akkor is lehetne létesíteni ssh kapcsolatot az IP címemen valamivel. Első körben át kellene állítanom az ssh portot valahova máshova, de nem tudom, hogy hol kell. Próbáltam a /etc/ssh/ssh_config fájlban megadni a portot, de nem lett jó.ToPe
Jól értem, akkor amit az ssh-keygen lementett privát kulcsot, át kellene másolnom a kliens gépre és megadni, hogy ezt a kulcsfájlt használja azonosításra és ne jelszóval?
Igen
Próbáltam a /etc/ssh/ssh_config fájlban megadni a portot, de nem lett jó.
Bakker, nézz kicsit lejjebb és az sshd_config-ban próbáld
- Be kell jelentkezni a hozzászóláshoz.