Неиспользование SSH Pubkey Authentication - серьезный недостаток безопасности по сравнению с обычной аутентификацией по паролю.

Question

Неиспользование SSH Pubkey Authentication - серьезный недостаток безопасности по сравнению с обычной аутентификацией по паролю.

Как использование PubkeyAuthentication будет более безопасным, чем использование PasswordAuthentication, учитывая следующие факты:

Порт SSH по умолчанию перенесен со своего порта по умолчанию
Брандмауэр заносит в черный список IP после нескольких неудачных попыток
Пароль выглядит довольно сложным (14-20 бессмысленных символов)

-5

linux ssh security firewall csf

Источник

Ilia Rostovtsev 04 фев '13 в 22:18

3 ответа

Решение

Предположим, кто-то получил ваш пароль от вас, удалив Post-it Note из-под вашей клавиатуры? Или с помощью резинового шланга. Это было бы бесполезно, если аутентификация по паролю отключена.

1

Источник

Michael Hampton 04 фев '13 в 22:23

Аутентификация с использованием Pubkey сильнее, потому что AAA зависит от пары ключей, в сущности, от математической идентичности, а не от строки символов (пароля). Нужно обладать публичной частью, чтобы преуспеть в аутентификации, и вы не можете просто наклониться через плечо или получить его с помощью резинового шланга. Что касается комментария о MITM... ну, ssh не передает пароли в открытом виде.

Конечно, вы можете сделать больше, чем пабы:

Ограничьте исходные IP-адреса, которые могут подключаться к этой системе
- брандмауэр хоста
- TCP Wrappers
- Обратный прокси
Используйте 'AllowUsers' и 'Allowgroups' в sshd_config
Используйте PAM, есть различные модули, которые применяют более безопасную фильтрацию
Требовать аутентификацию pubkey, а также пароль,
Установите 'PermitRootLogin No' в sshd_config
Установите значение "ServerKeyBits" на 2048 в sshd_config
Создайте свои публичные ключи как 2048-битные или больше

Альтернативы pubkey auth?

Используйте S/MIME, создайте список одноразовых паролей

1

Источник

LuckyNumberSevun 04 фев '13 в 23:36

Другие вопросы по тегам linux ssh security firewall csf

mgorven 04 фев '13 в 22:23 2013-02-04 22:23 · Accepted Answer · 2013-02-04 22:23

Ваш пароль имеет 12 символов, что при 6 битах на символ составляет 72 бита случайности. Ключ SSH имеет длину не менее 2048 бит, что гораздо больше, чтобы попытаться угадать.
Ключ SSH хранится на вашем клиенте, доступен только клиенту SSH и даже не известен вам. Пароль часто используется для других целей (повышенная вероятность утечки) и вводится в ненадежных средах.
При атаке MITM попытка аутентификации с использованием ключа SSH не приводит к утечке личного ключа, тогда как попытка аутентификации по паролю приводит к утечке пароля.