5 votos

Intercambio de clave pública con ssh

Es posible de alguna manera la instalación de un servidor ssh que no requieren un nombre de usuario,contraseña o cert de inicio de sesión? Si eso no es posible, si yo fuera a dar a todos los clientes de la misma clave pública, cada uno de la conexión cifrada de forma individual? (es decir, Un usuario coudn no descifrar la carga del usuario B conexión)

Me desea facilitar el acceso a un único programa, que se le preguntará por un nombre de usuario y contraseña.

El cifrado es esencial, y los usuarios no deben ser capaces de snoop en cada uno de los otros

Gracias

24voto

Vrtra Puntos 11

Poco tarde pero se puede forzar a un usuario para ejecutar un programa en particular al inicio de sesión (por cualquier medio) mediante la configuración de su concha para que el programa en /etc/passwd. Creo que hay una forma más compleja cuando se utiliza sshd utilizando .sshrc archivos, pero no estoy presumiendo que usted está en OpenSSH - está todo en el hombre de archivos.

24voto

MikeyB Puntos 26178

Los usuarios va a ser capaz de snoop en cada uno de los otros, ya que va a ser capaz de acceder al espacio de memoria de otros procesos (suponiendo que puedan ejecutar programas arbitrarios).

10voto

radius Puntos 7838

Yo no creo que se pueda quitar la autenticación de parte de SSH porque siempre se necesita un nombre de usuario para abrir una sesión, pero puede establecer una contraseña en blanco y establezca PermitEmptyPasswords para sí, en su configuración de sshd.
Pero esto no es realmente seguro, el uso de claves de autenticación es mejor.


Si usted da a sus clientes una clave pública que significa que se puede permitir que se conecte a su servidor ssh, no el tuyo.
Creo que quiere que los clientes conectarse a su servidor ssh. En este caso, los clientes necesitan para darle su clave pública y que les permitirá conectarse. Si todos los clientes estaban usando la misma clave pública para conectarse a su servidor ssh significaría que todos los clientes utilizan la misma clave privada, y esta no es una opción (no es su papel para proporcionar una clave privada y la clave privada no debe ser compartido)

Con respecto a la encriptación y el espionaje, el cifrado se realiza con claves de sesión no pública/clave privada, pero el intercambio de claves de sesión ssh uso de claves pública/privada.
Así que si todos sus clientes, donde el uso de la misma clave privada, si se snoop una sesión desde el principio que podría descifrar la sesión, si se snoop la sesión después de la sesión de intercambio de claves sería muy difícil descifrar la sesión.

Un buen Artículo sobre cómo funciona ssh http://www.eng.cam.ac.uk/help/jpmg/ssh/ssh-detail.html

1voto

ata Puntos 210

Creo que de la clave privada como el secreto. Cuando usted se para demostrar algo, como su identidad, en este caso, usted puede reclamarlo a usted saber un secreto, en este caso, el privado de claves ssh. La clave pública es que: "público", y en ese sentido no puede ser utilizado para demostrar nada.

Esto va junto con la recomendación de que no dé más de un usuario con la misma clave privada, nunca. Una enorme cantidad de agujeros de seguridad de origen en los intentos de hacer que los procesos de seguridad de menos sobrecargar. Hay un modo seguro de hacer eso también. Pero usted, como administrador, tendrá que hacer el trabajo, de lo contrario automáticamente dejando su red y sus usuarios, abierto al ataque.

"No tomar atajos"

0voto

kaerast Puntos 1954

Stick con nombres de usuario y contraseñas que si estás pensando en solicitar a los clientes de uno de todos modos. Usted tendrá que proporcionar la misma clave privada a todos los clientes si usted está incrustando en el software de cliente, y así tendrá acceso a cualquier cosa que los de la clave - lo que significa que cualquier cuenta en el servidor.

Usted realmente desea crear cuentas separadas para cada usuario, y no hay razón para usar las teclas cuando los clientes van a esperar a tener que introducir nombres de usuario y contraseñas (que va a ser confundido como es seguro que si no la tienen que dar una contraseña cada vez).

Para mantener las cosas simples de apoyo, usted querrá tener realmente fácil al cambio de nombres de usuario y contraseñas - posiblemente un directorio central servidor que ejecuta LDAP con bonitas interfaces gráficas para el servicio de asistencia técnica.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: