যখন আমি প্রথম ssh কীগুলি বানাতে শিখি তখন আমি যে টিউটোরিয়ালগুলি পড়েছিলাম সেগুলি জানিয়েছিল যে একটি ভাল পাসফ্রেজ বেছে নেওয়া উচিত। তবে সম্প্রতি, একটি ডিমন প্রক্রিয়া সেটআপ করার সময় যা অন্য একটি মেশিনে ছড়িয়ে পড়ার দরকার ছিল, আমি আবিষ্কার করেছি যে প্রতিটি বুটে আমার কী লেখার দরকার নেই তার একমাত্র উপায় (এটি মনে হয়) খালি দিয়ে কী তৈরি করা হয় is পাসফ্রেজ। সুতরাং আমার প্রশ্নটি হল, কোনও পাসফ্রেজবিহীন কী ব্যবহার করে উদ্বেগগুলি কী?
উত্তর:
পাসফ্রেজবিহীন একটি কীটি অন্য কেউ সেই চাবিটি পেতে সক্ষম না হওয়ার উপর নির্ভরশীল (যারা যেভাবে যে সংস্থাগুলিতে এটি অ্যাক্সেস দেয় সেগুলি পেতে সক্ষম হবে না)। সুতরাং, যদি কী এর পাশের কোনও মেশিনে অ্যাক্সেস মঞ্জুরি দেয় এবং উভয়ই মেশিনের বৈদ্যুতিন এবং শারীরিক সুরক্ষা একই স্তরের হয়, তবে এটি আসলে কোনও বড় বিষয় নয়।
অন্যদিকে, যদি আপনার কীটি দূর্বল সুরক্ষার সাথে মেশিনে থাকে (সম্ভবত এটির অনেক অবিশ্বস্ত ব্যবহারকারী রয়েছে, সহজেই শারীরিকভাবে অ্যাক্সেসযোগ্য, বা এর প্যাচিং সিস্টেমের সাথে সঠিকভাবে আপ-টু-ডেট রাখে না) তবে আপনি সম্ভবত ডান ' টি সেখানে পাসফ্রেজ-কম কীগুলি রাখতে চান না।
শেষ পর্যন্ত, এটি আপনার সেটআপের উপর আস্থা নেমেছে এবং এটি করার ঝুঁকিগুলি / ব্যয়গুলি মাপবে - আপনি যদি আত্মবিশ্বাসের সাথে দৃ can় বিশ্বাস রাখতে পারেন যে কী কী সংস্থার সাহায্যে চাওয়ার অ্যাক্সেস দেয় তবে আক্রমণকারীর পক্ষে কীটিতে অ্যাক্সেস পাওয়া বাস্তবসম্মত নয় not , তাহলে আপনি ভাল আছেন। আপনার যদি সেই আত্মবিশ্বাস না থাকে তবে আপনার সম্ভবত কারণগুলি ঠিক করা উচিত :)
আপনার পক্ষে আরও সহজ করার সময় সুরক্ষা বাড়ানো আরেকটি সমাধান, যাতে আপনাকে সর্বদা আপনার পাসওয়ার্ড টাইপ করতে হবে না:
আপনি যদি নিজের ব্যক্তিগত কীটি এনক্রিপ্ট করতে চান তবে আপনি ssh-agentনিজের ওয়ার্কস্টেশনটিতে এনক্রিপ্ট করা কীটি 'ক্যাশে' করতে পারবেন । আপনি যখন আপনার ডিক্রিপ্টড কীটি সঞ্চয় করতে চান, আপনি চালনা করুন ssh-add ~/.ssh/id_rsaবা আপনার ব্যক্তিগত কীটির নাম দেওয়া হোক না কেন। আপনাকে পাসওয়ার্ডের জন্য অনুরোধ জানানো হবে এবং লগ আউট, হত্যা ssh-agentবা শাটডাউন না করা অবধি আপনার এসএসএস সংযোগের জন্য ডিক্রিপ্টেড কীটি উপলব্ধ থাকবে ।
আপনি killস্টোরযুক্ত কীগুলি সাথে ssh-agent -kকরতে পারেন এবং কীটি স্মরণে রাখার জন্য একটি জীবনকাল নির্ধারণ করতে পারেন ssh-agent -t [seconds]উদাহরণস্বরূপ; যদি আপনি আপনার কীটি ডিক্রিপ্টেড চিরতরে রাখতে চান না, তবে আপনি আপনার হোস্টগুলির চারপাশে প্রচুর এসএসএন-ইন করতে চান, আপনি সময়সীমাটি 5-10 মিনিটের মধ্যে সেট করতে পারেন। যাতে আপনার ক্রমাগত আপনার কী এর পাসওয়ার্ড প্রবেশ করতে হবে না।
আবার, আপনার / ওয়ার্কস্টেশন / এর সুরক্ষার বিষয়ে আপনি যে কতটা আত্মবিশ্বাসী তার সাথে এটি করা দরকার, যদি আপনি কেবলমাত্র এর অ্যাক্সেস পেয়ে থাকেন এবং আপনার কাছে খুব সুরক্ষিত স্থানীয় পাসওয়ার্ড রয়েছে এবং আপনি না নিজের উপর শোষণ এবং রুটকিটগুলি আমন্ত্রণ করুন, আপনার পাসফ্রেজ-কম ব্যক্তিগত কীটি যুক্তিসঙ্গতভাবে সুরক্ষিত।
আপনি যদি আমার মতো হন এবং আপনি নিজের ব্যক্তিগত কীটি একটি থাম্ব-ড্রাইভে রাখেন তবে আপনি অবশ্যই এটি এনক্রিপ্ট করতে চান, যদিও এটি কেবল একটি প্রাইভেট কী (পৃথক একটি যা থেকে আমি আমার ওয়ার্কস্টেশনে ব্যবহার করি, তাই যদি আমি আমার কীটি হারাচ্ছি, আমি সহজেই আমার সার্ভারের ~/.ssh/authorized_keysতালিকা থেকে থাম্ব-ড্রাইভের পাবলিক কীটি সরিয়ে ফেলতে পারি , এটি আপনার সর্বজনীন কীগুলিতে কার্যকর মন্তব্য যুক্ত করার জন্য একটি / দুর্দান্ত / কারণ উপস্থিত করে)
পূর্ববর্তী উত্তরের প্রতিক্রিয়ায়, আপনি বলেছিলেন যে কেবলমাত্র আপনার বিশ্বাস করা লোকদের কীগুলি দিয়ে মেশিনটিতে অ্যাক্সেস রয়েছে। আমি কেবল স্পষ্ট করে বলতে চাই যে আপনি যা করছেন সে ক্ষেত্রে যদি আপনার প্রাইভেট কীটি আপনি সংযোগ করছেন সেই সার্ভারে থাকা দরকার নেই। কেবলমাত্র আপনার সর্বজনীন কী সার্ভারে থাকা দরকার, এবং এটি একটি নন-ইস্যু, এজন্য এটি একটি 'সর্বজনীন' কী।
ওহ, আমি উল্লেখ করতে ভুলে গেছি; আমি ssh-agentএক্স চালু করার সময় লঞ্চ করি, অন্যথায় আমি সংরক্ষণ করি এমন ডি-ক্রিপ্টেড কীগুলি ssh-addবিভিন্ন xtermসেশনের মাধ্যমে ধরে রাখা হয় না এবং প্রতিবার আমার পাসওয়ার্ডটি xtermচালু ssh-addকরার পরে আমার ~/.xinitrcফাইলটিতে পাসওয়ার্ডটি পুনরায় প্রবেশ করতে হয় , আমার কাছে রয়েছে:
if [ -x /usr/bin/ssh-agent ]; then
eval $(/usr/bin/ssh-agent)
fi
আমার কাছে ssh-agentমোড়কে evalথাকার জন্য কল রয়েছে কারণ এসএসএস-এজেন্ট কিছু পরিবেশের ভেরিয়েবলগুলি ফিরিয়ে দেয় যা এটি চলাকালীন সেট করা দরকার, এবং এটি থেকে চালানো হয় ~/.xinitrc, এক্স সেশনে পরিবেশের ভেরিয়েবল স্থির থাকে।
ssh-agentএবং ব্যবহার করেন তবে ssh -A -i privkey user@hostএটি ssh এজেন্ট ফরোয়ার্ডিংকে অনুমতি দেবে, যা আপনাকে প্রথম সার্ভারে আপনার ব্যক্তিগত কী না রেখে প্রাথমিক সার্ভার থেকে কোনও সার্ভার অ্যাক্সেস করার অনুমতি দেয়। ssh কী ফরোয়ারিং সক্ষম না করেও ssh চেইনিংয়ের প্রস্তাব দেওয়া হয় না এবং ssh -Aএর নিজস্ব সুরক্ষা উদ্বেগ রয়েছে। সার্ভারের কীটি এনক্রিপ্ট করা যাবে না এর কোনও কারণ নেই, যখন আপনার ওয়ার্কস্টেশনের কীটি পাসফ্রেজ-কম।
ওয়েব সার্ভারগুলির জন্য এসএসএল ব্যক্তিগত কীগুলি সম্পর্কে আমি জিজ্ঞাসা করা একই ধরণের প্রশ্নটির দিকে একবার নজর দিতে পারি। মূলত, এখানে তিনটি বিকল্প রয়েছে:
এগুলির প্রত্যেকটি ত্রুটিযুক্ত, সুতরাং এটি আপনার উপর নির্ভর করে যা সবচেয়ে বেশি ভয় পান।
স্বয়ংক্রিয় অ্যাক্সেসের জন্য, যা আপনি বলেছেন পাসফ্রেজ-কম কীগুলি দরকার, আমি চালিত হতে পারে এমন কমান্ড সীমাবদ্ধ করার জন্য আমি সর্বদা অনুমোদিত_কিগুলির অতিরিক্ত বিকল্পগুলি (sshd (8) দেখুন) ব্যবহার করি।
সাধারণত আমি দূরবর্তী প্রান্তে একটি সাবধানে লিখিত স্ক্রিপ্ট সরবরাহ করি, যা ঠিক আমার কাজটি (বা কাজগুলি - এটি প্যারামিটারগুলিতে দেখতে পারে) করতে দেয় যা আমি অনুমতি পেতে চাই।
তারপরে আমি এটিকে আইপি অ্যাড্রেসগুলিতে লক করে দিয়েছি যা সেই কীটির সাথে সংযুক্ত হতে পারে (100% বুদ্ধিমান নয়, তবে কমান্ডের সীমাবদ্ধতার সাথেও জরিমানা))
আপনি যদি কোনও ধরণের স্বয়ংক্রিয় পদ্ধতি করতে ssh ব্যবহার করতে চান - আমি বিশেষ করে নাগিওস চেকগুলি নিয়ে ভাবছি - তবে আপনি সম্ভবত একটি পাসফ্রেজ ব্যবহার করতে চাইবেন না।
এই পরিস্থিতিতে আপনি সম্ভবত এটি কোনও ল্যানের বাইরে ব্যবহার করবেন না এবং আপনার কীটি সার্ভারে সুরক্ষিতভাবে সঞ্চিত থাকবে।
এসএসএইচ নিয়ে আলোচনা করা বেশিরভাগ টিউটোরিয়ালগুলি কোনও ব্যক্তির বাহ্যিক নেটওয়ার্ক, সম্ভবত কোনও অনিরাপদ কম্পিউটার থেকে লগ ইন করার প্রত্যাশা করবে, যার ক্ষেত্রে পরামর্শটি উপযুক্ত।
মূলত, আপনি যদি না জানেন তবে না করার একটি ভাল কারণ রয়েছে, একটি পাসফ্রেজ তৈরি করুন। প্রতিবার আপনার পাসওয়ার্ড টাইপ করতে খুব অলস হওয়া আপনার পক্ষে যথেষ্ট কারণ হতে পারে :-)