এসএসএইচ পাসওয়ার্ড প্রমাণীকরণ কেন সুরক্ষা ঝুঁকিপূর্ণ?

ওপেনএসএসএইচ কনফিগারেশনের বেশিরভাগ গাইড কী-ভিত্তিক প্রমাণীকরণের পক্ষে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করার পরামর্শ দেয়। তবে আমার মতে পাসওয়ার্ড প্রমাণীকরণের একটি উল্লেখযোগ্য সুবিধা রয়েছে: কী ছাড়াই একেবারে যে কোনও জায়গা থেকে সংযোগ স্থাপনের ক্ষমতা। যদি সবসময় শক্ত পাসওয়ার্ড সহ ব্যবহার করা হয় তবে এটি কোনও সুরক্ষা ঝুঁকি হওয়া উচিত নয়। নাকি এটা করা উচিত?

পিডাব্লু বা কী-ভিত্তিক প্রমাণীকরণের জন্য প্রো এবং কনস রয়েছে।

কিছু ক্ষেত্রে, উদাহরণস্বরূপ, কী-ভিত্তিক প্রমাণীকরণ পাসওয়ার্ড প্রমাণীকরণের চেয়ে কম সুরক্ষিত। অন্যান্য ক্ষেত্রে, এর পিডব্লু-ভিত্তিক যা কম সুরক্ষিত। কিছু ক্ষেত্রে, একটি আরও সুবিধাজনক, অন্যদের মধ্যে, কম।

এটি সমস্ত এটিকেই ফুটিয়ে তোলে: আপনি কী-ভিত্তিক প্রমাণীকরণ করার সময় আপনাকে অবশ্যই একটি পাসফ্রেজের সাহায্যে আপনার কীটি সুরক্ষিত করতে হবে । আপনার ssh- এজেন্ট চলমান না থাকলে (ssh- এজেন্ট আপনাকে প্রতিবার আপনার পাসফ্রেজে প্রবেশ করা থেকে মুক্তি দেয়), আপনি সুবিধার দিক থেকে কিছুই অর্জন করতে পারেন না। সুরক্ষা বিতর্কযোগ্য: আক্রমণ ভেক্টর এখন সার্ভার থেকে আপনার বা আপনার অ্যাকাউন্টে বা আপনার ব্যক্তিগত মেশিনে স্থানান্তরিত হয়েছে, (...) - এগুলি ভাঙ্গা সহজ হতে পারে বা নাও পারে।

এই সিদ্ধান্ত নেওয়ার সময় বাক্সের বাইরে চিন্তা করুন। সুরক্ষার দিক থেকে আপনি অর্জন বা শিথিল হওয়া আপনার পরিবেশ এবং অন্যান্য পদক্ষেপের উপর নির্ভর করে।

সম্পাদনা: ওহ, কেবলমাত্র আপনি দেখেছেন যে আপনি একটি হোম সার্ভারের কথা বলছেন। আমি একই পরিস্থিতিতে ছিলাম, "পাসওয়ার্ড" বা "এতে কী সহ ইউএসবি স্টিক" সবসময় আমার সাথে থাকে? আমি প্রাক্তন হয়ে গিয়েছিলাম কিন্তু এসএসএইচ শ্রবণ পোর্টটি 22 টির চেয়ে আলাদা কিছুতে পরিবর্তন করেছি That এটি পুরো নেটওয়ার্ক পরিসীমা জোর করে জোর করে সমস্ত লম্পট স্ক্রিপ্ট কিডিজ বন্ধ করে দেয়।

পাসওয়ার্ড লগিনের সাথে তুলনা করে ssh কী ব্যবহার করার একটি অনন্য বৈশিষ্ট্য রয়েছে: আপনি অনুমোদিত আদেশগুলি নির্দিষ্ট করতে পারেন। এটি ~/.ssh/authorized_keysসার্ভারে ফাইল সংশোধন করে করা যেতে পারে ।

উদাহরণ স্বরূপ,

command="/usr/local/bin/your_backup_script.sh", ssh-rsa auiosfSAFfAFDFJL1234214DFAfDFa...

সেই নির্দিষ্ট কী সহ কেবলমাত্র the /usr/local/bin/your_backup_script.sh "কমান্ডটি অনুমতি দেবে।

আপনি কীটির জন্য অনুমোদিত হোস্টগুলি নির্দিষ্ট করতে পারেন:

from="yourclient,yourotherclient", ssh-rsa auiosfSAFfAFDFJL1234214DFAfDFa...

বা দুটি একত্রিত করুন:

from="yourbackupserver", command="/usr/local/bin/your_backup_script.sh", ssh-rsa auiosfSAFfAFDFJL1234214DFAfDFa...

কীগুলির সাহায্যে আপনি সেই নির্দিষ্ট অ্যাকাউন্টের পাসওয়ার্ডটি প্রকাশ না করে কোনও ব্যবহারকারীর (কোনও পরামর্শদাতা) অস্থায়ী অ্যাক্সেসও দিতে পারেন। পরামর্শদাতা তার কাজ শেষ করার পরে অস্থায়ী কীটি সরানো যেতে পারে।

আপনি কেবল আপনার নেটওয়ার্কের মধ্যে থেকে পাসওয়ার্ড প্রমাণীকরণের অনুমতি দিয়ে উভয় বিশ্বের সেরা অর্জন করতে পারেন। আপনার শেষে নিম্নলিখিতটি যুক্ত করুন sshd_config:

PasswordAuthentication no
Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
    PasswordAuthentication yes

আপনি আপনার প্রশ্নের আংশিক প্রতিক্রিয়া জানিয়েছেন - আক্রমণকারী যত বেশি স্থান থেকে সংযোগ করতে পারে, ব্রুয়েফোর্সিংয়ের মাধ্যমে তাকে আপনার সার্ভারে আরও বেশি সম্ভাবনা ভেঙে যেতে হবে (ডিডোএস বিবেচনা করুন)।

মূল পাসওয়ার্ডের সাথে আপনার পাসওয়ার্ডের দৈর্ঘ্যের তুলনা করুন (সাধারণত হাজার হাজার বিট)।

আপনি যখন কোনও পাসওয়ার্ড দিয়ে লগ ইন করেন আপনি নিজের পাসওয়ার্ডটি সার্ভারে প্রেরণ করেন। এর অর্থ সার্ভারের অপারেটর আপনার পাসওয়ার্ড অ্যাক্সেস পেতে এসএসএইচডি সংশোধন করতে পারে। সর্বজনীন কী প্রমাণীকরণের সাথে, তারা আপনার ব্যক্তিগত কীটি কেবলমাত্র সর্বজনীন কী হিসাবে সার্ভারে যায় না।

ssh কী আপনার পাসওয়ার্ডে মাঝারি ভিত্তিতে আক্রমণে মানুষকে আটকাতে পারে।

আপনি যখন কোনও কী দিয়ে লগইন করার চেষ্টা করেন সার্ভার আপনার সর্বজনীন কী এর উপর ভিত্তি করে একটি চ্যালেঞ্জ তৈরি করবে এবং এটি আপনার ক্লায়েন্টকে প্রেরণ করবে। যা এটি ডিক্রিপ্ট করবে এবং প্রেরণের জন্য উপযুক্ত প্রতিক্রিয়া তৈরি করবে।

আপনার প্রাইভেট কীটি কখনই সার্ভারে পাঠানো হয় না এবং যে কেউ শুনছেন সে একক অধিবেশন ব্যতীত আর কিছু করতে অক্ষম।

একটি পাসওয়ার্ড দিয়ে তাদের আপনার শংসাপত্র থাকবে।

আমার সমাধানটি হ'ল একটি ইউএসবি কীতে একটি এনক্রিপ্ট করা পার্টিশনের উপযুক্ত বিন্যাসে পোর্টেবল এসএস কী থাকা। এটি আমাকে এটি করতে অনুমতি দেয়:
সহজেই কীটি হারিয়ে যাওয়ার ঘটনায় এটি প্রত্যাহার করে।
কোন সার্ভারগুলিতে এটি সীমাবদ্ধ রাখুন এটি আমাকে অ্যাক্সেস করার অনুমতি দেয়
এবং এখনও এটিকে প্রায় বহন করে

যদিও মাউন্ট সফ্টওয়্যার ইনস্টল করা একটি ব্যথা (ট্রুক্রিপট)

এটি একটি বাণিজ্য বন্ধ, যেমন @ মার্টিনভেজমেলকা বলেছেন।

আপনি কী ভিত্তিক প্রমাণীকরণটি ব্যবহার করার কারণটি হ'ল কীটি বর্তমান বা অদূর ভবিষ্যতের উদ্দীপনা জোর করে বলছে যে আপনাকে নিজের পিসি থেকে আসতে হবে, বা একটি ইউএসবি স্টিক বা অনুরূপ কী থাকা উচিত।

একটি পাসওয়ার্ডে নিম্নলিখিত সমস্যাগুলি রয়েছে:

• যদি এটি সংক্ষিপ্ত হয় তবে এটি জোর করে জোর করা যেতে পারে
• এটি দীর্ঘ হলে সহজেই ভুলে যায়
• এটি কাঁধে surfed হতে পারে

একটি কীটি দৈর্ঘ্যের দৈর্ঘ্যের অর্ডার এবং কোনও সময়ে প্রদর্শিত হয় না তাই এটি এই তিনটি সমস্যা এড়িয়ে চলে।

ইতিমধ্যে এখানে উল্লেখ করা ভাল পয়েন্ট।

আপনি যে শক্তিশালী পাসওয়ার্ড সহ বেসিকগুলির যত্ন নিয়েছেন তা আমি সবচেয়ে বড় ঝুঁকি হিসাবে বিবেচনা করি, এটি হ'ল প্রচুর কম্পিউটারে ব্যবহারকারী এটি উপলব্ধি না করেই কিলগার ইনস্টল করে রেখেছেন। এমন কি এমন লোকেরা রয়েছে যেগুলি দরকারী ইউটিলিটির পুরো সাইট তৈরি করে যার মধ্যে ট্রোজান রয়েছে, তাই এটি আমাদের সেরা ক্ষেত্রে ঘটতে পারে। একটি কীলগার উদাহরণস্বরূপ কোনও হ্যাকারে লগইন বিশদটি ইমেল করে যা সহজেই সার্ভারটিতে অ্যাক্সেস করতে পারে।

মিনক্রাফ্ট জারে ফ্লাইট যুক্ত করার জন্য সাম্প্রতিক আমাকে নর্টন জম্পি মোড ইনস্টলার (জার নয়, ইনস্টলার) ডাউনলোড করার বিষয়ে সতর্ক করেছিলেন। আমি বিশদটি দেখলাম এবং নরটন এই সাইটে প্রচুর ইউটিলিটি তালিকাভুক্ত করেছে যা একটি ট্রোজানযুক্ত হিসাবে চিহ্নিত ছিল। আমি জানি না এটি সঠিক কিনা না, তবে ফাইল নামগুলির সাথে এটি বেশ সুনির্দিষ্ট ছিল। এটি ট্রোজানদের বিতরণ করার আগে (কিছু) ওয়ারেজের মধ্যে রাখা হয় তাও একটি বাস্তব সত্য।

পাসওয়ার্ডগুলির উপর এসএসএইচের একটি সম্ভাব্য সুবিধা হ'ল আপনি যদি কোনও এসএসএইচ পাসফ্রেজ নির্দিষ্ট না করেন তবে আপনাকে আর কখনও পাসওয়ার্ড টাইপ করতে হবে না ... আপনার কম্পিউটারটি সার্ভারে স্বতন্ত্রভাবে বিশ্বাসযোগ্য কারণ এর কী রয়েছে। এটি বলেছিল, আমি সাধারণত সবসময় একটি এসএসএইচ পাসফ্রেজ ব্যবহার করি তাই আমি সেই সুবিধাটি কার্যকর করি।

ব্যবহারকারী গাইডরা কেন প্রায়শই পাসওয়ার্ড প্রমাণীকরণের জন্য এসএসএইচ-এর প্রস্তাব দেয় তার সেরা উত্তরটি খুঁজে পাই এসএসএচওপেনএসএইচকি-র জন্য উবুন্টু ম্যানুয়াল থেকে। আমি উদ্ধৃতি,

আপনি যদি এটি গুরুত্বপূর্ণ মনে করেন না, আপনি পরের সপ্তাহের জন্য প্রাপ্ত সমস্ত দূষিত লগইন প্রচেষ্টা লগ করার চেষ্টা করুন। আমার কম্পিউটার - একদম সাধারণ ডেস্কটপ পিসি - গত সপ্তাহে আমার পাসওয়ার্ডটি অনুমান করার 4,000 টিরও বেশি প্রচেষ্টা ছিল এবং প্রায় 2,500 ব্রেক-ইন প্রচেষ্টা ছিল। একজন আক্রমণকারী আপনার পাসওয়ার্ডের পিছনে হোঁচট খাওয়ার আগে আপনি কত হাজার এলোমেলো অনুমানগুলি গ্রহণ করবেন বলে মনে করেন?

মূলত যদি আপনার বিরামচিহ্ন, উচ্চ এবং নিম্নতর কেস এবং সংখ্যাসহ শক্ত উচ্চতর দৈর্ঘ্যের পাসওয়ার্ড থাকে ... আপনি সম্ভবত পাসওয়ার্ড প্রমাণীকরণের সাথে ঠিক থাকবেন। এছাড়াও যদি আপনি নিজের লগগুলি নিরীক্ষণ করার পরিকল্পনা করেন এবং নেটওয়ার্ক জুড়ে যে কোনও উপায়ে "সুপার সুরক্ষিত" জিনিসগুলি না করেন ... যেমন হোম সার্ভারের জন্য এটি ব্যবহার করে। তারপরে সমস্ত ক্ষেত্রে, একটি পাসওয়ার্ড ভালভাবে কাজ করে।

Passwd প্রমাণীকরণ পদ্ধতিটি সত্যই অনিরাপদ (imho)। এই প্রক্রিয়াটির সাহায্যে পাসওয়ার্ডটি এসএসডি সার্ভারে স্থানান্তরিত হবে (যেমন @ রেমন আগেই বলেছে)। এর অর্থ হ'ল কিছু ব্যক্তি পাসওয়ার্ড পুনরুদ্ধার করতে sshd সার্ভারটি সংশোধন করতে পারে। একটি ম্যান-ইন-দ্য মিডল আক্রমণ দিয়ে স্থানীয় নেটওয়ার্কের মধ্যে এটি করা খুব সহজ।

এই প্যাচটি ইনস্টল করে আপনি কেবল এসএসডিডি সার্ভারটি প্যাচ করতে পারেন ( https://github.com/jtesta/ssh-mitm )। ক্লায়েন্ট এবং খাঁটি এসএসডি সার্ভারের মধ্যে আপনার প্যাচযুক্ত সার্ভারটি ব্যবহার করুন arpspoofএবং রাখুন iptables।

দয়া করে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করুন: কনফিগারেশন ফাইলটি খুলুন /etc/ssh/ssh_configএবং লাইনটি যুক্ত করুন PasswordAuthentication no।

-o StrictHostKeyChecking=noবিকল্পটি দিয়ে আপনি বাইপাস করতে পারেন । শেল স্ক্রিপ্টে ssh ব্যবহার করার সময় এটি খুব দরকারী।

ssh -o StrictHostKeyChecking=no -o ConnectTimeout=10 -o PasswordAuthentication=no -o ConnectionAttempts=5 xxUser@xxxHost