এসএসএইচ পাসওয়ার্ড প্রমাণীকরণ কেন সুরক্ষা ঝুঁকিপূর্ণ?


68

ওপেনএসএসএইচ কনফিগারেশনের বেশিরভাগ গাইড কী-ভিত্তিক প্রমাণীকরণের পক্ষে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করার পরামর্শ দেয়। তবে আমার মতে পাসওয়ার্ড প্রমাণীকরণের একটি উল্লেখযোগ্য সুবিধা রয়েছে: কী ছাড়াই একেবারে যে কোনও জায়গা থেকে সংযোগ স্থাপনের ক্ষমতা। যদি সবসময় শক্ত পাসওয়ার্ড সহ ব্যবহার করা হয় তবে এটি কোনও সুরক্ষা ঝুঁকি হওয়া উচিত নয়। নাকি এটা করা উচিত?


2
পাসওয়ার্ডগুলি হ'ল এক-ফ্যাক্টর প্রমাণীকরণ যা স্নিগ্ধ, অনুমান করা এবং পুনরায় খেলানো যেতে পারে। কীগুলি (সম্ভবত) দ্বি-গুণক। শুধুমাত্র একটি ফ্যাক্টর দিয়ে যে কোনও জায়গা থেকে লগ ইন করতে সক্ষম হওয়া কিছু সিস্টেমে অগ্রহণযোগ্য।
অ্যালেক্স হলস্ট

উত্তর:


25

পিডাব্লু বা কী-ভিত্তিক প্রমাণীকরণের জন্য প্রো এবং কনস রয়েছে।

কিছু ক্ষেত্রে, উদাহরণস্বরূপ, কী-ভিত্তিক প্রমাণীকরণ পাসওয়ার্ড প্রমাণীকরণের চেয়ে কম সুরক্ষিত। অন্যান্য ক্ষেত্রে, এর পিডব্লু-ভিত্তিক যা কম সুরক্ষিত। কিছু ক্ষেত্রে, একটি আরও সুবিধাজনক, অন্যদের মধ্যে, কম।

এটি সমস্ত এটিকেই ফুটিয়ে তোলে: আপনি কী-ভিত্তিক প্রমাণীকরণ করার সময় আপনাকে অবশ্যই একটি পাসফ্রেজের সাহায্যে আপনার কীটি সুরক্ষিত করতে হবে । আপনার ssh- এজেন্ট চলমান না থাকলে (ssh- এজেন্ট আপনাকে প্রতিবার আপনার পাসফ্রেজে প্রবেশ করা থেকে মুক্তি দেয়), আপনি সুবিধার দিক থেকে কিছুই অর্জন করতে পারেন না। সুরক্ষা বিতর্কযোগ্য: আক্রমণ ভেক্টর এখন সার্ভার থেকে আপনার বা আপনার অ্যাকাউন্টে বা আপনার ব্যক্তিগত মেশিনে স্থানান্তরিত হয়েছে, (...) - এগুলি ভাঙ্গা সহজ হতে পারে বা নাও পারে।

এই সিদ্ধান্ত নেওয়ার সময় বাক্সের বাইরে চিন্তা করুন। সুরক্ষার দিক থেকে আপনি অর্জন বা শিথিল হওয়া আপনার পরিবেশ এবং অন্যান্য পদক্ষেপের উপর নির্ভর করে।

সম্পাদনা: ওহ, কেবলমাত্র আপনি দেখেছেন যে আপনি একটি হোম সার্ভারের কথা বলছেন। আমি একই পরিস্থিতিতে ছিলাম, "পাসওয়ার্ড" বা "এতে কী সহ ইউএসবি স্টিক" সবসময় আমার সাথে থাকে? আমি প্রাক্তন হয়ে গিয়েছিলাম কিন্তু এসএসএইচ শ্রবণ পোর্টটি 22 টির চেয়ে আলাদা কিছুতে পরিবর্তন করেছি That এটি পুরো নেটওয়ার্ক পরিসীমা জোর করে জোর করে সমস্ত লম্পট স্ক্রিপ্ট কিডিজ বন্ধ করে দেয়।


22 থেকে এসএসএইচ পোর্ট পরিবর্তন করা অনেক ক্ষেত্রে মোটেই ভাল ধারণা হতে পারে না। adayinthelifeof.nl/2012/03/12/…
টাইমেক

75

পাসওয়ার্ড লগিনের সাথে তুলনা করে ssh কী ব্যবহার করার একটি অনন্য বৈশিষ্ট্য রয়েছে: আপনি অনুমোদিত আদেশগুলি নির্দিষ্ট করতে পারেন। এটি ~/.ssh/authorized_keysসার্ভারে ফাইল সংশোধন করে করা যেতে পারে ।

উদাহরণ স্বরূপ,

command="/usr/local/bin/your_backup_script.sh", ssh-rsa auiosfSAFfAFDFJL1234214DFAfDFa...

সেই নির্দিষ্ট কী সহ কেবলমাত্র the /usr/local/bin/your_backup_script.sh "কমান্ডটি অনুমতি দেবে।

আপনি কীটির জন্য অনুমোদিত হোস্টগুলি নির্দিষ্ট করতে পারেন:

from="yourclient,yourotherclient", ssh-rsa auiosfSAFfAFDFJL1234214DFAfDFa...

বা দুটি একত্রিত করুন:

from="yourbackupserver", command="/usr/local/bin/your_backup_script.sh", ssh-rsa auiosfSAFfAFDFJL1234214DFAfDFa...

কীগুলির সাহায্যে আপনি সেই নির্দিষ্ট অ্যাকাউন্টের পাসওয়ার্ডটি প্রকাশ না করে কোনও ব্যবহারকারীর (কোনও পরামর্শদাতা) অস্থায়ী অ্যাক্সেসও দিতে পারেন। পরামর্শদাতা তার কাজ শেষ করার পরে অস্থায়ী কীটি সরানো যেতে পারে।


খুব দরকারী টিপস।
শচীন দিভেকার

3
এছাড়াও কীগুলি ব্যবহার করা দীর্ঘ 2000 চরিত্রের পাসওয়ার্ডের মতো (টেকনিক্যালি এটি আরও বেশি শক্তিশালী) যেমন আপনি টার্মিনালে ম্যানুয়ালি কী করতে পারেন তার তুলনায়: ডি
অভিষেক দুজারি

3
এসএসএইচ প্রমাণীকরণ সম্পর্কে দুটি খুব দরকারী টিপস, তবে সত্যিই আমার জন্য প্রশ্নের উত্তর দেয় না ...
মাইকমুরকো

আপনি যদি কোনও পাসওয়ার্ড-প্রমাণীকরণকারী ব্যবহারকারীকে একটি নির্দিষ্ট কমান্ড দিয়ে যেতে বাধ্য করতে চান তবে তার লগইন শেলটি পরিবর্তন করুন। এছাড়াও, "পাসওয়ার্ড প্রকাশ না করেই অস্থায়ী অ্যাক্সেস দেওয়া" খুব খারাপ ধারণা। পরবর্তী সময়ে অ্যাক্সেস রাখার জন্য শত শত বিভিন্ন উপায় রয়েছে।
b0fh

সর্বশেষ অনুচ্ছেদটি আইএমও প্রশ্নের একা উত্তর দেয় - কীগুলি দানাদার বিলোপের জন্য অনুমতি দেয়, পাসওয়ার্ড সহ আপনার প্রত্যেককে অবহিত করা উচিত যে আপনি এটি পরিবর্তন করছেন।
21:24

48

আপনি কেবল আপনার নেটওয়ার্কের মধ্যে থেকে পাসওয়ার্ড প্রমাণীকরণের অনুমতি দিয়ে উভয় বিশ্বের সেরা অর্জন করতে পারেন। আপনার শেষে নিম্নলিখিতটি যুক্ত করুন sshd_config:

PasswordAuthentication no
Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
    PasswordAuthentication yes

7

আপনি আপনার প্রশ্নের আংশিক প্রতিক্রিয়া জানিয়েছেন - আক্রমণকারী যত বেশি স্থান থেকে সংযোগ করতে পারে, ব্রুয়েফোর্সিংয়ের মাধ্যমে তাকে আপনার সার্ভারে আরও বেশি সম্ভাবনা ভেঙে যেতে হবে (ডিডোএস বিবেচনা করুন)।

মূল পাসওয়ার্ডের সাথে আপনার পাসওয়ার্ডের দৈর্ঘ্যের তুলনা করুন (সাধারণত হাজার হাজার বিট)।


4
এনট্রপি-র 96-বিটের অর্থ একটি 80-অক্ষরের পাসওয়ার্ড, যদি এটি ইংরেজী লেখা থাকে; মুদ্রণযোগ্য অক্ষর সেট থেকে এলোমেলো জিব্বারিশ হলে 15 টি অক্ষর। আপনি কি নিশ্চিত যে আপনার এসএস পাসওয়ার্ডগুলি দীর্ঘ / শক্তিশালী?
ম্যাডহ্যাটার

3
আপনার যদি এনট্রপির 96৯-বিট সহ একাধিক পাসওয়ার্ড রয়েছে যা অভিধানের আক্রমণে ঝুঁকির আশঙ্কাজনক না হয়ে থাকে তবে আপনার সম্ভবত কোনওরকম পাসওয়ার্ড ম্যানেজমেন্ট সফটওয়্যার ব্যবহার করা দরকার, তাই আপনি কার্যকরভাবে পাসওয়ার্ড ব্যবহারের যে কোনও জায়গায় অ্যাক্সেসযোগ্য উপাদানটি হারাবেন ।
নিক ডাউনটাটন

5
@ সাচিনদিভেকার কেবলমাত্র [a-zA-Z] সেট থেকে এলোমেলো পাসওয়ার্ড ব্যবহার করে যদি এন্ট্রপির of৯ বিট হয় তবে এটি ইংরেজি শব্দ নয়।
জাপ এল্ডারিং

16
@ নিকডাউনটন - কীপাস সফ্টওয়্যারটি অবলম্বন না করে আপনার একটি দীর্ঘ দীর্ঘ পাসওয়ার্ড থাকতে পারে। mywifesnameisangelaandshehasanicebuttঅভিধানের আক্রমণগুলির মতো এমন কিছু অলঙ্ঘনীয়, খুব দৃ ,় এবং মনে রাখা খুব সহজ, তবে অনুমান করা অসম্ভব। যদি আপনার স্ত্রীকে আপনার পাসওয়ার্ড দেওয়ার দরকার হয় তবে ব্রাউনির পয়েন্ট থাকলে এটি বোনাসের সাথে আসে।
মার্ক হেন্ডারসন

7
দুঃখিত, চিহ্নিত করুন, কিন্তু এটি ভুল। আপনার দেওয়া পাসফ্রেজে 37 টি অক্ষর রয়েছে এবং তাই এন্ট্রপির মোটামুটি 44 বিট রয়েছে, যা 7 টি এলোমেলো মুদ্রণযোগ্য অক্ষরগুলির চেয়ে দুর্বল, এবং অত্যন্ত আক্রমণাত্মক। বিশদ জন্য ক্লাউড শ্যাননের কাজ সম্পর্কিত উইকিপিডিয়ায় নিবন্ধটি পড়ুন তবে ফলাফলটি হ'ল লিখিত ইংরেজি অত্যন্ত অনুমানযোগ্য - উদাহরণস্বরূপ, "মাইউইফেসনাম" এর পরে "হ'ল" শব্দটি প্রায় গ্যারান্টিযুক্ত। শক্তিশালী শব্দের সাথে জড়িত পাসওয়ার্ডগুলির জন্য, অভিধান থেকে একসাথে চারটি এলোমেলো শব্দ আপনাকে কিছু 10 ** ২৩ টি সম্ভাবনা দেবে, যা এন্ট্রপির প্রায় b 77 বিট; এখনও মহান না, কিন্তু খারাপ না।
ম্যাডহ্যাটার

7

আপনি যখন কোনও পাসওয়ার্ড দিয়ে লগ ইন করেন আপনি নিজের পাসওয়ার্ডটি সার্ভারে প্রেরণ করেন। এর অর্থ সার্ভারের অপারেটর আপনার পাসওয়ার্ড অ্যাক্সেস পেতে এসএসএইচডি সংশোধন করতে পারে। সর্বজনীন কী প্রমাণীকরণের সাথে, তারা আপনার ব্যক্তিগত কীটি কেবলমাত্র সর্বজনীন কী হিসাবে সার্ভারে যায় না।


2
টাইপোর কারণে আপনি যখন ভুল সার্ভারের সাথে সংযোগ করেন তখন এটি বিশেষভাবে প্রাসঙ্গিক। উদাহরণস্বরূপ, কোনও এক সময়ে, .cg একটি ওয়াইল্ডকার্ড যা ssh সক্ষম থাকা একটি একক মেশিনের দিকে ইশারা করে। আপনি যখনই .ch এর জন্য .cg কে ভুল টাইপ করবেন, আপনি সেই বাক্সটির সাথে সংযুক্ত হয়ে আপনার পাসওয়ার্ড
ফাঁস

@ b0fh আসলেই। আমি যতদূর বলতে পারি, ssh এর সাথে পাসওয়ার্ড ব্যবহার করে এটিই আসল দুর্বলতা প্রবর্তিত। আপনি যে সংস্থার সাথে সংযোগ করছেন সেই সার্ভারটির যদি কেউ ইতিমধ্যে নিজের মালিকানাধীন হয়ে থাকেন বা আপনি যে আইপি ঠিকানাগুলি (এমআইটিএম) সংযুক্ত করছেন সেগুলি স্পুফ করতে পারে তবে আপনি ইতিমধ্যে হেরে গেছেন।
hobs

6

ssh কী আপনার পাসওয়ার্ডে মাঝারি ভিত্তিতে আক্রমণে মানুষকে আটকাতে পারে।

আপনি যখন কোনও কী দিয়ে লগইন করার চেষ্টা করেন সার্ভার আপনার সর্বজনীন কী এর উপর ভিত্তি করে একটি চ্যালেঞ্জ তৈরি করবে এবং এটি আপনার ক্লায়েন্টকে প্রেরণ করবে। যা এটি ডিক্রিপ্ট করবে এবং প্রেরণের জন্য উপযুক্ত প্রতিক্রিয়া তৈরি করবে।

আপনার প্রাইভেট কীটি কখনই সার্ভারে পাঠানো হয় না এবং যে কেউ শুনছেন সে একক অধিবেশন ব্যতীত আর কিছু করতে অক্ষম।

একটি পাসওয়ার্ড দিয়ে তাদের আপনার শংসাপত্র থাকবে।

আমার সমাধানটি হ'ল একটি ইউএসবি কীতে একটি এনক্রিপ্ট করা পার্টিশনের উপযুক্ত বিন্যাসে পোর্টেবল এসএস কী থাকা। এটি আমাকে এটি করতে অনুমতি দেয়:
সহজেই কীটি হারিয়ে যাওয়ার ঘটনায় এটি প্রত্যাহার করে।
কোন সার্ভারগুলিতে এটি সীমাবদ্ধ রাখুন এটি আমাকে অ্যাক্সেস করার অনুমতি দেয়
এবং এখনও এটিকে প্রায় বহন করে

যদিও মাউন্ট সফ্টওয়্যার ইনস্টল করা একটি ব্যথা (ট্রুক্রিপট)


1
এটা ভুল. সার্ভারের সর্বজনীন কী (আপনি যদি এটি নিজের ক্যাশে যুক্ত করেন এবং প্রথম সংযোগে এমআইটিএম না পেয়ে থাকেন তবে আপনি কী করবেন) তা জানার সাথে সাথেই আপনি এমআইটিএম আক্রমণ থেকে রক্ষা পাবেন। কী / পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণের সাথে এর কোনও সম্পর্ক নেই। পাসওয়ার্ডটি তারের উপর দিয়ে কখনই পরিষ্কারভাবে প্রেরণ করা হয় না , মেশিন-স্তরের প্রমাণীকরণের একটি সুরক্ষিত সংযোগ (আপনার / আমার সার্বজনীন কী কী) সর্বদা ব্যবহারকারী-স্তরের প্রমাণীকরণের আগে সেটআপ করা হয় (আপনার পাসওয়ার্ড কী / আমাকে প্রমাণ করুন এই সার্বজনীন কী আপনার) ।
টমাস

3
থমাস, বাস্তবে অনেক লোক আঙুলের ছাপ পরিবর্তন সম্পর্কে সতর্কবার্তাটিকে অগ্রাহ্য করে। পাবকি লেখক এমআইটিএম সুরক্ষার গ্যারান্টি দেয় এমনকি সার্ভারের ব্যক্তিগত কী কোনওরকমভাবে আপস হয়ে যায় বা কোনও মানব প্রকার "হ্যাঁ" অনুপস্থিতভাবে: আক্রমণকারীটিকে ট্র্যাফিকটি দেখতে না পারা এবং লগ ইন না করে এমন একটি সরকারী কী প্রেরণের মধ্যে নির্বাচন করতে হয় যা একটি জয়।
স্কোর_উন্ডারে

5
এবং উত্তরদাতাকে: আপনার ট্রুইক্রিপ্ট ব্যবহার করার দরকার নেই, ওপেনশ প্রাইভেট কীগুলি তাদের নিজস্ব passwordচ্ছিক পাসওয়ার্ড-ভিত্তিক এনক্রিপশন নিয়ে আসে।
স্কোর_উন্ডারে

5

এটি একটি বাণিজ্য বন্ধ, যেমন @ মার্টিনভেজমেলকা বলেছেন।

আপনি কী ভিত্তিক প্রমাণীকরণটি ব্যবহার করার কারণটি হ'ল কীটি বর্তমান বা অদূর ভবিষ্যতের উদ্দীপনা জোর করে বলছে যে আপনাকে নিজের পিসি থেকে আসতে হবে, বা একটি ইউএসবি স্টিক বা অনুরূপ কী থাকা উচিত।

একটি পাসওয়ার্ডে নিম্নলিখিত সমস্যাগুলি রয়েছে:

  • যদি এটি সংক্ষিপ্ত হয় তবে এটি জোর করে জোর করা যেতে পারে
  • এটি দীর্ঘ হলে সহজেই ভুলে যায়
  • এটি কাঁধে surfed হতে পারে

একটি কীটি দৈর্ঘ্যের দৈর্ঘ্যের অর্ডার এবং কোনও সময়ে প্রদর্শিত হয় না তাই এটি এই তিনটি সমস্যা এড়িয়ে চলে।


তবে কী ফাইলটি ব্যবহার করা পেনড্রাইভটি হারাতে বা আপনি যে স্টোরেজ ব্যবহার করছেন তা যুক্ত করে।
জোও পোর্তেলা

1
যে বিন্দুতে হারানো কীটি সরানো যেতে পারে এবং একটি নতুন কী যুক্ত করা হবে। পাসওয়ার্ডগুলির সাথে (বিশেষত ভাগ করা পাসওয়ার্ডগুলি) এটি আমার পক্ষে এক ব্যথা করতে পারে এবং এতে প্রচুর করুণা জড়িত।
স্প্লিনটারলেলিটি

আমার (সদ্য অবসরপ্রাপ্ত) পাসওয়ার্ড একটি: 08Forging2?seminal*^Rajas-(Posed/|। এটি এলোমেলোভাবে উত্পাদিত তবে এটি মনে রাখতে আমার কোনও সমস্যা নেই। এবং শুভকামনা এটি কাঁধে সার্ফিং বা জোর করে চাপিয়ে দেওয়া।
ফিনিউ

1
@ ফিন্নউ সঠিক হর্স ব্যাটারি স্ট্যাপল :-) security.stackexchange.com/q/6095/485
ররি আলসপ

2

ইতিমধ্যে এখানে উল্লেখ করা ভাল পয়েন্ট।

আপনি যে শক্তিশালী পাসওয়ার্ড সহ বেসিকগুলির যত্ন নিয়েছেন তা আমি সবচেয়ে বড় ঝুঁকি হিসাবে বিবেচনা করি, এটি হ'ল প্রচুর কম্পিউটারে ব্যবহারকারী এটি উপলব্ধি না করেই কিলগার ইনস্টল করে রেখেছেন। এমন কি এমন লোকেরা রয়েছে যেগুলি দরকারী ইউটিলিটির পুরো সাইট তৈরি করে যার মধ্যে ট্রোজান রয়েছে, তাই এটি আমাদের সেরা ক্ষেত্রে ঘটতে পারে। একটি কীলগার উদাহরণস্বরূপ কোনও হ্যাকারে লগইন বিশদটি ইমেল করে যা সহজেই সার্ভারটিতে অ্যাক্সেস করতে পারে।

মিনক্রাফ্ট জারে ফ্লাইট যুক্ত করার জন্য সাম্প্রতিক আমাকে নর্টন জম্পি মোড ইনস্টলার (জার নয়, ইনস্টলার) ডাউনলোড করার বিষয়ে সতর্ক করেছিলেন। আমি বিশদটি দেখলাম এবং নরটন এই সাইটে প্রচুর ইউটিলিটি তালিকাভুক্ত করেছে যা একটি ট্রোজানযুক্ত হিসাবে চিহ্নিত ছিল। আমি জানি না এটি সঠিক কিনা না, তবে ফাইল নামগুলির সাথে এটি বেশ সুনির্দিষ্ট ছিল। এটি ট্রোজানদের বিতরণ করার আগে (কিছু) ওয়ারেজের মধ্যে রাখা হয় তাও একটি বাস্তব সত্য।


2

পাসওয়ার্ডগুলির উপর এসএসএইচের একটি সম্ভাব্য সুবিধা হ'ল আপনি যদি কোনও এসএসএইচ পাসফ্রেজ নির্দিষ্ট না করেন তবে আপনাকে আর কখনও পাসওয়ার্ড টাইপ করতে হবে না ... আপনার কম্পিউটারটি সার্ভারে স্বতন্ত্রভাবে বিশ্বাসযোগ্য কারণ এর কী রয়েছে। এটি বলেছিল, আমি সাধারণত সবসময় একটি এসএসএইচ পাসফ্রেজ ব্যবহার করি তাই আমি সেই সুবিধাটি কার্যকর করি।

ব্যবহারকারী গাইডরা কেন প্রায়শই পাসওয়ার্ড প্রমাণীকরণের জন্য এসএসএইচ-এর প্রস্তাব দেয় তার সেরা উত্তরটি খুঁজে পাই এসএসএচওপেনএসএইচকি-র জন্য উবুন্টু ম্যানুয়াল থেকে। আমি উদ্ধৃতি,

আপনি যদি এটি গুরুত্বপূর্ণ মনে করেন না, আপনি পরের সপ্তাহের জন্য প্রাপ্ত সমস্ত দূষিত লগইন প্রচেষ্টা লগ করার চেষ্টা করুন। আমার কম্পিউটার - একদম সাধারণ ডেস্কটপ পিসি - গত সপ্তাহে আমার পাসওয়ার্ডটি অনুমান করার 4,000 টিরও বেশি প্রচেষ্টা ছিল এবং প্রায় 2,500 ব্রেক-ইন প্রচেষ্টা ছিল। একজন আক্রমণকারী আপনার পাসওয়ার্ডের পিছনে হোঁচট খাওয়ার আগে আপনি কত হাজার এলোমেলো অনুমানগুলি গ্রহণ করবেন বলে মনে করেন?

মূলত যদি আপনার বিরামচিহ্ন, উচ্চ এবং নিম্নতর কেস এবং সংখ্যাসহ শক্ত উচ্চতর দৈর্ঘ্যের পাসওয়ার্ড থাকে ... আপনি সম্ভবত পাসওয়ার্ড প্রমাণীকরণের সাথে ঠিক থাকবেন। এছাড়াও যদি আপনি নিজের লগগুলি নিরীক্ষণ করার পরিকল্পনা করেন এবং নেটওয়ার্ক জুড়ে যে কোনও উপায়ে "সুপার সুরক্ষিত" জিনিসগুলি না করেন ... যেমন হোম সার্ভারের জন্য এটি ব্যবহার করে। তারপরে সমস্ত ক্ষেত্রে, একটি পাসওয়ার্ড ভালভাবে কাজ করে।


1

Passwd প্রমাণীকরণ পদ্ধতিটি সত্যই অনিরাপদ (imho)। এই প্রক্রিয়াটির সাহায্যে পাসওয়ার্ডটি এসএসডি সার্ভারে স্থানান্তরিত হবে (যেমন @ রেমন আগেই বলেছে)। এর অর্থ হ'ল কিছু ব্যক্তি পাসওয়ার্ড পুনরুদ্ধার করতে sshd সার্ভারটি সংশোধন করতে পারে। একটি ম্যান-ইন-দ্য মিডল আক্রমণ দিয়ে স্থানীয় নেটওয়ার্কের মধ্যে এটি করা খুব সহজ।

এই প্যাচটি ইনস্টল করে আপনি কেবল এসএসডিডি সার্ভারটি প্যাচ করতে পারেন ( https://github.com/jtesta/ssh-mitm )। ক্লায়েন্ট এবং খাঁটি এসএসডি সার্ভারের মধ্যে আপনার প্যাচযুক্ত সার্ভারটি ব্যবহার করুন arpspoofএবং রাখুন iptables

দয়া করে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করুন: কনফিগারেশন ফাইলটি খুলুন /etc/ssh/ssh_configএবং লাইনটি যুক্ত করুন PasswordAuthentication no


এসএসএইচ ক্লায়েন্ট আরএসএ ফিঙ্গারপ্রিন্টের জন্য সার্ভার চেক করে না? আপনি অন্তত একবার এই নির্দিষ্ট সার্ভারটি ছুঁড়ে ফেলার পরে, এটি ফিঙ্গারপ্রিন্ট মনে থাকবে, সুতরাং এমআইটিএম আক্রমণগুলির ক্ষেত্রে এসএসএইচ একটি সতর্কতা জাগিয়ে তুলবে, তাই না?
14

1
হ্যাঁ। সতর্কবার্তাটি উপস্থিত হয় তবে os৯% সময় এটি ওএস পুনরায় ইনস্টলেশন, কনফিগার পরিবর্তিত ইসি দ্বারা সৃষ্ট হয়, বেশিরভাগ ব্যবহারকারী সতর্কতা উপেক্ষা করে অগ্রসর হবে।
পিয়োজ

@Septagram অনেক শেল অ্যাকাউন্টের প্রদানকারীর নতুন গ্রাহকদের জন্য বর্তমান সার্ভার কী আঙ্গুলের ছাপ পোস্ট, নতুন সার্ভার, ইত্যাদি ব্যবহারকারী অ্যাকাউন্টের মাইগ্রেশনের জন্য অভ্যাস নেই
ড্যামিয়েন Yerrick

-2

-o StrictHostKeyChecking=noবিকল্পটি দিয়ে আপনি বাইপাস করতে পারেন । শেল স্ক্রিপ্টে ssh ব্যবহার করার সময় এটি খুব দরকারী।

ssh -o StrictHostKeyChecking=no -o ConnectTimeout=10 -o PasswordAuthentication=no -o ConnectionAttempts=5 xxUser@xxxHost
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.