behatolasfigyeles
Hambuch Gabor
hambuch at w5.hu
2010. Feb. 23., K, 12:58:31 CET
Veres Sándor írta:
>> A (csak) kulcsos megoldás előnye, hogy gyakorlatilag kizárt a
>> próbálgatásos betörés az internet felől (ez a leggyakoribb a nem
>> célzott támadások között).
> Már ez is jól hangzik. Ebben az esetben szükségtelenné válik / válhat
> pl. az iptables azon alkalmazása; ha pl. 3 hibás próbálkozás érkezik a
> szerverre, akkor tiltom a portot x óráig? Vagy ez még akkor is maradjon
> benne? És ajánlott még a fail2ban használta is (gondolom)?
Én így látom, ahogy te is leírtad, ezért nem használok fail2ban és
hasonló megoldásokat egyáltalán. Persze lehet használni ezeket a plusz
dolgokat, de konkrétan az ssh-nál (ha kulccsal használom) nem jelent
akkora pluszt, hogy beállítsam. Ízlések és pofonok...
>> Hátránya (ahogy te is említetted), hogy tárolni kell valahol a
>> kulcsot. Ellenben, ha a kulcsnak is elég erős jelszót választasz,
>> akkor csökkenthető a kockázat. (Bár még mindig gyorsabb egy kulcs
>> jelszavát törni offline, mint a szerveren próbálkozni.)
> A kulcs jelszava kb. ugyanazt jelenti, mint ha egy tömörített zip
> állománynál jelszót állítok be? Amikor bejelentkezéskor megadom a kulcs
> helyét, akkor ezt a jelszót remélem, nem kell begépelni? És akár a
> jelszót el is felejthetem, mert a későbbiekben nem lesz rá szükségem?
> Bocsánat a buta kérdésekért, de egy két dolgot tisztán szeretnék látni
> mielőtt áttérnék kulcsos azonosításra.
Igen, a kulcs jelszava leginkább egy tömörített fájl jelszavához
hasonlítható ilyen szempontból. Ezt alapesetben a kulcs minden
használatakor meg kell adni. Vannak azonban ötletes kiegészítők is,
amivel könnyíthetünk ezen. Ilyen például a putty kiegészítéseként a
pageant, amibe ha betöltöd a kulcsot, akkor egyszer megkérdezi a hozzá
tartozó jelszót, majd amíg fut ez a kis alkalmazás, addig megjegyzi a
dekódolt kulcsot, és nem kell újra megadni a jelszót. Következő
újraindítás után természetesen újra be kell tölteni a kulcsot, és
kérdezi a jelszót is.
Van még egy másik lehetőség, az pedig a jelszó nélküli, kódolatlan kulcs
használata. Ezt viszont erősen ellenzem, mivel így valóban csak a
kulcsfájlt kell megszerezni, és máris be lehet lépni !jelszó nélkül! a
nevedben a szerverre.
Szintén a putty kiegészítője a puttygen nevű alkalmazás, ennek
segítségével egyszerűen lehet jelszót módosítani a kulcson.
>> Ezért szeretném kombinálni a két hitelesítési módot, mert ezzel már
>> tényleg olyan minimálisra csökkenthető a kockázat, hogy gyakorlatilag
>> elhanyagolható.
> Ha ezt sikerül megoldanod, akkor kérlek oszd meg velünk.
Igyekszem... :)
--
Hambuch Gábor
hambuch at w5.hu
További információk a(z) Techinfo levelezőlistáról