ඔබ වැරදි සේවාදායකයකට සම්බන්ධ වීමට උත්සාහ කරන විට ඔබේ SSH මුරපදය අනාවරණය වේද?

191

මුරපද අක්තපත්‍ර සමඟ ඔබ වැරදීමකින් වැරදි සේවාදායකයට සම්බන්ධ වීමට උත්සාහ කරන විට, ඔබ භාවිතා කළ මුරපදය කියවා ලොග් වීමට පරිපාලකවරයාට හැකිද?

ssh  password 
vfclists
source
11
ජේම්ස්ඩ්ලින්
41
Ssh සේවාදායකයකු තුළ, ඔබ මුලින්ම සේවාදායකය සත්‍යාපනය කර එසේ කිරීමෙන් ඔබ පවසන්නේ "මගේ මුරපදය මෙම සේවාදායකයට පැවසිය හැකි යැයි මම විශ්වාස කරමි". ඊළඟ වතාවේ ඔබ මුලින් දුටු පණිවිඩය කෙරෙහි වැඩි අවධානයක් යොමු කරන්න: "X හි සත්‍යතාව තහවුරු කළ නොහැක. ආර්එස්ඒ යතුරු ඇඟිලි සලකුණ Y යනු ඔබට විශ්වාසද? ඉසෙඩ් ද? සෑම අවස්ථාවකදීම ස්වයංක්‍රීයව ඔව් කියා පිළිතුරු දීමට .
kubanczyk
6
PasswordAuthentication noOpenSSH හි පෙරනිමියෙන් සැකසිය හැකි අතර විශ්වාසදායක සේවාදායකයන් සඳහා පමණක් (අවශ්‍ය නම් / අවශ්‍ය විට) එය සක්‍රීය කරන්න. දැඩි සත්කාරක යතුරු පරික්ෂා කිරීම සමඟ ඒකාබද්ධව, මෙය බොහෝ දුරට ඔබගේ මුරපදය නිරාවරණය වීමෙන් ආරක්ෂා වනු ඇත.
හොබ්ස්
6
ubkubanczyk, ඔබට "අභ්‍යන්තර- www.my-company.com" වෙත SSH කිරීමට අවශ්‍ය නමුත් අහම්බෙන් "ssh www.my-company.com" ලෙස ටයිප් කළහොත්, එම විමසුම මඟින් ඔබව ආරක්ෂා නොකරනු ඇත - බොහෝ විට සේවාදායක දෙකම විය හැකිය ඔබගේ විශ්වාසදායක ලැයිස්තුවේ, එයින් එකක් ඔබ විසින් මෙහෙයවනු ලබන අතර අනෙක තෙවන පාර්ශවයක් විසින් මෙහෙයවනු ලැබේ.
මාර්ක්
ob හොබ්ස් ChallengeResponseAuthentication noද මම සිතමි
ඉල්කාචු

Answers:

214

සරලයි: ඔව්

වැඩි විස්තර...

ඔබ මගේ යන්ත්‍රයට සම්බන්ධ වන්නේ නම්, මම සාමාන්‍ය sshසේවාදායකයක් ධාවනය කරන්නේද , නැතහොත් මුරපදය ලිවීම සඳහා වෙනස් කරන ලද එකක් දැයි ඔබ නොදනී .

තවද, මට අනිවාර්යයෙන්ම වෙනස් කිරීමට අවශ්‍ය නොවනු ඇත sshd, නමුත් pam_scriptඔබේ මුරපදය ලබා දෙන PAM මොඩියුලයක් (උදා: භාවිතා කිරීම ) ලිවිය හැකිය.

එසේ ඔව්. ඔබගේ මුරපදය විශ්වාස කළ නොහැකි සේවාදායකයකට යවන්න එපා . උත්සාහ කළ සියලුම මුරපද ලොග් කිරීම සඳහා යන්ත්‍රයේ හිමිකරුට එය පහසුවෙන් වින්‍යාසගත කළ හැකිය.

(ඇත්ත වශයෙන්ම මෙය ඉන්ෆොසෙක් ලෝකයේ සුලබ දෙයක් නොවේ; උත්සාහ කළ මුරපද ලොග් කිරීම සඳහා හනිපොට් සේවාදායකයක් සකසන්න)

ස්ටීවන් හැරිස්
source
13
නිවැරදි. සුපුරුදු පරිදි, සම්මත sshdනැහැ නැහැ මුරපද ලොග් වන්න. (ඔබ ඔබගේ මුරපදය පිවිසුම් නමක් ලෙස ඇතුළත් කළහොත් එය ලොග් වනු ඇත, නමුත් එය තවත් ගැටළුවක් වේ). ප්‍රමිතිය sshdආරක්ෂක මෙවලමක් වන අතර මේ නිසා අක්තපත්‍ර ලොග් නොකරනු ඇත :-)
ස්ටීවන් හැරිස්
117
පොදු / පෞද්ගලික යතුරු යුගල භාවිතා කිරීමට තවත් හේතුවක් ...
gerrit
3
මම මුරපද භාවිතා කිරීම ගැන කලක සිට කල්පනා කර ඇති අතර වැරදි සේවාදායකයන්ට ප්‍රවේශ වීමට උත්සාහ කිරීම අනිෂ්ට සේවාදායක පරිපාලකයෙකුට මගේ මුරපදය හෙළි කිරීමට හොඳ ක්‍රමයක් බව මෑතකදී මට වැටහුණි.
vfclists
10
fvfclists වැරදි සේවාදායකයට පිවිසීමද ඔබේ sshd සේවාදායකයා එක් එක් සේවාදායකයා සඳහා ඇඟිලි මුද්‍රණය ගබඩා කිරීමට හේතුවයි. ඔබ පළමු වරට සම්බන්ධ වූ විට, ඔබ එම ඇඟිලි සලකුණ පිළිගනී, පසුව එය නොගැලපේ නම්, ඔබට අවනත විය යුතු යෝධ අනතුරු ඇඟවීමක් ලැබේ.
හෝම්ටෝස්ට්
44
වඩා හොඳ උපදෙස්: ssh සඳහා කිසි විටෙක මුරපද සත්‍යාපනය භාවිතා නොකරන්න. ප්‍රොටෝකෝලය ඉතා හොඳ හේතුන් මත පබ්කි සත්‍යාපනය ඇත; එය භාවිතා කරන්න!
ආර් .. GitHub STOP HELPING ICE
52

ඔව්.

සංකේතාත්මක සම්බන්ධතාවය ස්ථාපිත කිරීමෙන් පසුව මුරපදය යවනු ලැබේ, නමුත් දුරස්ථ සේවාදායකයට මුරපදය සාමාන්‍ය පෙළෙන් ලැබේ.

ඔබ ඒ ගැන සැලකිලිමත් වන්නේ නම්, හොඳම හා පහසුම විසඳුම වන්නේ SSH යතුරු භාවිතා කිරීමයි.

ඔබට යතුරු පිළිගත නොහැකි යන්ත්‍ර තිබේ නම්, එක් විසඳුමක් වනුයේ ඔබේ මුරපද ආරක්ෂිතව ගබඩා කරන මෙවලමක් නිර්මාණය කිරීමයි, ඉන්පසු sshpassඔබ සම්බන්ධ කරන සේවාදායකය මත පදනම්ව සෑම විටම නිවැරදි මුරපදය යැවීමට භාවිතා කරයි .

දැන්, මුරපදය සාමාන්‍ය පෙළෙන් යැවීමට හේතුව, එය හැසිරවීමේ හා ගබඩා කිරීමේ සියලු තීරණ දුරස්ථ කෙළවරට තැබීම සහ සේවාදායකයා මුළුමනින්ම ගොළු විය හැකිය. පසුගිය වසර දහය තුළ ලිනක්ස් සහ බීඑස්ඩී පද්ධතිවල භාවිතා කරන විවිධ මුරපද හැෂිං (ගබඩා) ආකෘති කිහිපයක් තිබේ ( ගුප්ත (3) ), ඒ කිසිවක් සේවාදායකයාගේ සහාය අවශ්‍ය නොවේ.

එය අර්ධ වශයෙන් ඉතිහාසය නිසා වුවද (එනම් එය සැමවිටම එවැන්නකි). මුරපද සමඟ පවා භාවිතා කළ හැකි වඩා හොඳ අභියෝග-ප්‍රතිචාර සත්‍යාපන ප්‍රොටෝකෝල තිබේ. උදාහරණයක් ලෙස SRP , සත්‍යාපනය අතරතුර පාර්ශවකරුවන්ට හවුල් රහසක් සපයයි. සමහර SSH සේවාදායකයන් සඳහා එය ක්‍රියාත්මක කර ඇත, නමුත් OpenSSH සඳහා වන පැච් එක (ඉතා) පැරණි අනුවාදයක් සඳහා වේ.

ilkkachu
source
1
මුරපද සත්‍යාපනය සඳහා අභියෝග-ප්‍රතිචාර ප්‍රොටෝකෝල වල ඇති ගැටළුව නම්, සමහර ඒවාට මුරපදය සරල පෙළෙහි ගබඩා කිරීමට සේවාදායකයාට අවශ්‍ය වීමයි. අභියෝග-ප්‍රතිචාර ප්‍රොටෝකෝලය මඟින් සේවාදායකයාට හැෂ් මුරපදයක් ගබඩා කිරීමට ඉඩ දෙන්නේ නම්, බොහෝ විට එයට විශේෂිත හැෂිං ඇල්ගොරිතමයක් අවශ්‍ය වේ.
kasperd
8
මුරපද සාමාන්‍යයෙන් යවනු ලබන්නේ “සරල පා text යෙන්” (එනම් ඇත්ත වශයෙන්ම පැහැදිලිව නොව, යටින් පවතින SSH | TLS | ඕනෑම සම්බන්ධතාවයක් සපයන ආරක්ෂාව සමඟ පමණි). සේවාදායකයා-පැත්තේ සහ යැවිය යුතු හැෂ් hashed කිරීමට මුරපද සඳහා නම් පද්ධතියක් නම්, සේවාදායක සැබෑ මුරපදය ව්යුත්පන්න කිරීමට ක්රමයක් නැත ඇති අතර, ඒ වෙනුවට මුරපදය හැෂ් සැපයිය හැකි ඕනෑම කෙනෙකුට අවසර ලබා ඇත , සෑදීම හැෂ් පවසයි මුරපදය-සමාන .
බ්ලැක් ලයිට් බැබළීම
1
La බ්ලැක්ලයිට්ෂයිනිං ශුන්‍ය දැනුම මුරපද සාක්‍ෂි පවතින නමුත් ඒවා SSH හි භාවිතා නොකෙරේ, මන්ද ඔවුන් සඳහා සම්මත මුරපද දත්ත ගබඩාව භාවිතා කිරීමට ක්‍රමයක් නොමැති අතර යතුරු මත පදනම් වූ සත්‍යාපනය වෙනුවට ඒවා භාවිතා කිරීමට සැබෑ කරුණක් නොමැත.
සසම්භාවී 832
සත්‍යාපනය සඳහා භාවිතා කරන මුරපද මට දැකිය හැක්කේ කොතැනින්ද? ඔවුන් /var/log/auth.log හි නොමැත, එසේනම් කොහේද?
ア レ ッ ク ス
OpenSSH මුරපද ලොග් නොකරනු ඇත, අසමත් හෝ වෙනත් ආකාරයකින්. (මම වෙනත් එස්එස්එච් සේවාදායකයන් ගැන එතරම් හුරුපුරුදු නැත.) සෑම නීත්‍යානුකූල ස්ථාපනයක් තුළම, මෙමඟින් ලබා දිය හැකි ඕනෑම වටිනාකමක් හිතාමතාම මුරපද පටිගත කිරීමේදී ඇති වන අවදානම ඉක්මවා යනු ඇත - ඒවායින් සමහරක් යතුරු ලියනය කළ නීත්‍යානුකූල පරිශීලකයින් විසින් සපයනු ලැබිය හැකිය. හෝ වැරදි පා but යක් සඳහා වෙනත් දෙයක් සඳහා මුරපදයක් පැහැදිලි වචන වලින් උත්සාහ කරන්න. ඔබට මෙය කිරීමට හොඳ හේතුවක් තිබේ නම්, OpenSSH ඇලවීම පහසුය.
musicinmybrain
11

ස්ටීවන් හැරිස්ගේ පිළිතුරට ඉහළින් ගොඩනැඟීම සඳහා, මා විසින් සාදන ලද තත්‍ය කාලීන දර්ශනයක් මෙහි දැක්වෙන්නේ ssh (විවිධ වර්ගයේ හනිපොට්) හරහා කොටුවකට සම්බන්ධ කිරීමේදී නවීකරණය කරන ලද PAM සත්‍යාපන පිටපතක් ග්‍රහණය කරගත හැකි දේ පෙන්වයි. මම PAM පුස්තකාලයේ නවීකරණය කරන ලද අනුවාදයක් භාවිතා කරමි lib-storepw.

https://livesshattack.net

https://livesshattack.net/about

විලී එස්.
source
4
සබැඳිය නොමැති විට මූලික වශයෙන් සබැඳිවලට පිළිතුරු ලැබෙනු ඇත (ඔබ මෙම වෙබ් අඩවිය පෞද්ගලිකව නඩත්තු කරන බවක් පෙනේ, නමුත් තවමත්). පා aut කයන් සඳහා ඔබේ සත්‍යාපන පිටපත සමඟ ඔබ මෙය කළමනාකරණය කළ ආකාරය ටිකක් විස්තර කළ යුතුය.
සෙන්ටිමන්
එය තවදුරටත් ක්‍රියාත්මක නොවේ, මම මුරපදයක් ලෙස විශාල නූලක් යැව්වෙමි, එය කැඩී යන්නට ඇතැයි මම සිතමි, සමාවෙන්න: - /
scottydelta
sc ස්කොටිඩෙල්ටා මම ඒ ගැන සොයා බැලුවේ නැතත්, සත්‍යාපන උත්සාහයකදී PAM මොඩියුලය හෝ එස්එස්එච් ඩීමන් විසින්ම පිළිගත හැකි මුරපදයේ ප්‍රමාණයට ස්වාරක්ෂක සීමාවක් තිබිය හැකිය. මා අදහස් කළ පරිදි වෙබ් අඩවිය තවමත් ක්‍රියාත්මක වේ, කෙසේ වෙතත් මෙය සත්‍යයක් නම් sshd හෝ PAM මොඩියුලය විසින් පිළිගත් ස්වාරක්ෂක සීමාව දක්වා හැසිරෙනු ඇත.
විලී එස්.
ඔබගේ නවීකරණය කරන ලද lib-storepw සඳහා වෙනත් අයට භාවිතා කළ හැකි ප්‍රභවය කුමක්ද?
ටිම් ෆ්ලෙචර්
2

SSH යනු අන්‍යෝන්‍ය විශ්වාසය අවශ්‍ය වන ප්‍රොටෝකෝලයකි. පළමු භාවිත යෝජනා ක්‍රමය පිළිබඳ විශ්වාසය ක්‍රියාත්මක කිරීම සඳහා OpenSSH සේවාදායකයා දන්නා_හෝස්ට් ගොනුවක් නඩත්තු කිරීමට හේතුව එයයි.

ඔබ SSH සේවාදායකයකට ප්‍රවේශ වීමට උත්සාහ කරන විට, මෘදුකාංගය සැපයුවේ කවුරුන්ද යන්න හෝ එය ලොග් වීමට වින්‍යාසගත කර ඇති දත්ත කුමක් වුවත්, ඔබ යම් සත්‍යාපන ක්‍රියාවලියකට සහභාගී වේ. මුරපද සත්‍යාපනය භාවිතා කරන විට, ඔබ ඔබේ මුරපදය එම සේවාදායකයට සම්ප්‍රේෂණය කරයි. අසමමිතික ගුප්ත ලේඛනකරණය (පොදු යතුර, සහතික) නිර්දේශ කිරීමට මෙය එක් හේතුවකි - පොදු යතුරු ගුප්ත විද්‍යාව ඔබේ අක්තපත්‍ර හෙළි කිරීමේ අවදානම බෙහෙවින් අඩු කරයි. (Ssh-agent forwarding හෝ ඒ හා සමාන යෝජනා ක්‍රමයක් භාවිතා කරන්නේ නම් එය MitM ප්‍රහාරයකින් ඔබව ආරක්ෂා නොකරනු ඇත.)

jvoorhis
source
SSH හට අන්‍යෝන්‍ය විශ්වාසය හෝ අවම වශයෙන් සමමිතික විශ්වාසයක් අවශ්‍ය නොවේ. නිවැරදිව පැවසීම වැදගත් ය: දන්නා_ හොස්ට් යනු අව්‍යාජභාවය මිස විශ්වාසය නොවේ. ඔබ පෙන්වා දෙන පරිදි, අඩු විශ්වාසදායක ධාරකයෙකු මත පොදු යතුරක් තැබීම ආරක්ෂිතයි. ඇත්ත වශයෙන්ම, පුරනය වීමට මුරපදයක් භාවිතා කිරීම "ආරක්ෂිත" වේ, ඔබ එම මුරපදය නැවත භාවිතා නොකරයි යැයි උපකල්පනය කරයි. (එය ඇත්ත වශයෙන්ම ඔබ සේවාදායකය විශ්වාස කරන තරමටම ආරක්ෂිතයි.) ධාරක පාදක ssh පිවිසුම් පවා අසමමිතික විශ්වාසය මත රඳා පවතී.
මාර්ක්හාන්
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.