behatolasfigyeles

Hambuch Gabor hambuch at w5.hu
2010. Feb. 23., K, 12:58:31 CET


Veres Sándor írta:
>> A (csak) kulcsos megoldás előnye, hogy gyakorlatilag kizárt a 
>> próbálgatásos betörés az internet felől (ez a leggyakoribb a nem 
>> célzott támadások között).
> Már ez is jól hangzik. Ebben az esetben szükségtelenné válik / válhat 
> pl. az iptables azon alkalmazása; ha pl. 3 hibás próbálkozás érkezik a 
> szerverre, akkor tiltom a portot x óráig? Vagy ez még akkor is maradjon 
> benne? És ajánlott még a fail2ban használta is (gondolom)?
Én így látom, ahogy te is leírtad, ezért nem használok fail2ban és 
hasonló megoldásokat egyáltalán. Persze lehet használni ezeket a plusz 
dolgokat, de konkrétan az ssh-nál (ha kulccsal használom) nem jelent 
akkora pluszt, hogy beállítsam. Ízlések és pofonok...

>> Hátránya (ahogy te is említetted), hogy tárolni kell valahol a 
>> kulcsot. Ellenben, ha a kulcsnak is elég erős jelszót választasz, 
>> akkor csökkenthető a kockázat. (Bár még mindig gyorsabb egy kulcs 
>> jelszavát törni offline, mint a szerveren próbálkozni.)
> A kulcs jelszava kb. ugyanazt jelenti, mint ha egy tömörített zip 
> állománynál jelszót állítok be? Amikor bejelentkezéskor megadom a kulcs 
> helyét, akkor ezt a jelszót remélem, nem kell begépelni? És akár a 
> jelszót el is felejthetem, mert a későbbiekben nem lesz rá szükségem?
> Bocsánat a buta kérdésekért, de egy két dolgot tisztán szeretnék látni 
> mielőtt áttérnék kulcsos azonosításra.
Igen, a kulcs jelszava leginkább egy tömörített fájl jelszavához 
hasonlítható ilyen szempontból. Ezt alapesetben a kulcs minden 
használatakor meg kell adni. Vannak azonban ötletes kiegészítők is, 
amivel könnyíthetünk ezen. Ilyen például a putty kiegészítéseként a 
pageant, amibe ha betöltöd a kulcsot, akkor egyszer megkérdezi a hozzá 
tartozó jelszót, majd amíg fut ez a kis alkalmazás, addig megjegyzi a 
dekódolt kulcsot, és nem kell újra megadni a jelszót. Következő 
újraindítás után természetesen újra be kell tölteni a kulcsot, és 
kérdezi a jelszót is.
Van még egy másik lehetőség, az pedig a jelszó nélküli, kódolatlan kulcs 
használata. Ezt viszont erősen ellenzem, mivel így valóban csak a 
kulcsfájlt kell megszerezni, és máris be lehet lépni !jelszó nélkül! a 
nevedben a szerverre.
Szintén a putty kiegészítője a puttygen nevű alkalmazás, ennek 
segítségével egyszerűen lehet jelszót módosítani a kulcson.

>> Ezért szeretném kombinálni a két hitelesítési módot, mert ezzel már 
>> tényleg olyan minimálisra csökkenthető a kockázat, hogy gyakorlatilag 
>> elhanyagolható.
> Ha ezt sikerül megoldanod, akkor kérlek oszd meg velünk.
Igyekszem... :)

-- 
Hambuch Gábor
hambuch at w5.hu


További információk a(z) Techinfo levelezőlistáról