ssh পাবলিক কী ব্যবহার করার ঝুঁকি

আমার সার্ভার এ এবং সার্ভার বি (ব্যাকআপ) রয়েছে, এবং আমি ভাবছিলাম, যদি কেউ সার্ভার এ-তে বিভক্ত হয় তবে এসএস পাবলিক কীগুলি ব্যবহার করে পাসওয়ার্ডহীন লগইনটি কনফিগার করা থাকলে এটি সার্ভার বিতে প্রবেশ করা সম্ভবত বিপজ্জনক হতে পারে?

আমি আরএসএন্যাপশট সেটআপ করার চেষ্টা করছি।

ধন্যবাদ

হ্যাঁ, পাসওয়ার্ডহীন এসএসএইচ কীগুলির মধ্যে এটি অন্যতম সমস্যা। আপনি যদি সার্ভার A এ একটি প্রাইভেট কী সংরক্ষণ করেন যা আপনাকে সার্ভার বি এর সাথে সংযোগ স্থাপন করতে দেয়, সার্ভার এ অ্যাক্সেস লাভ করে কার্যকরভাবে সার্ভার বি-তে অ্যাক্সেস অর্জন করা হয় (বিপরীতটি সত্য নয় - সার্ভার বিতে অ্যাক্সেস পাওয়ার ফলে কোনও ফলাফল হবে না সার্ভার এ সম্পর্কিত তাত্ক্ষণিক সমঝোতা, ধরে নিই যে আপনার কাছে সেই দিকে পাসওয়ার্ডবিহীন লগইনগুলি মঞ্জুরি দেওয়ার জন্য এসএসএইচ কীও সেট আপ করা হয়নি।

এটি প্রশমিত করতে আপনি কয়েকটি জিনিস করতে পারেন:

• যদি প্রক্রিয়াটি পুরোপুরি স্বয়ংক্রিয় হওয়ার প্রয়োজন না হয় তবে আপনার এসএসএইচ কীতে একটি পাসওয়ার্ড যুক্ত করুন। (এটি সম্ভবত আপনার পক্ষে কাজ করবে না, যেহেতু আপনি নোট করেছেন এটি ব্যাকআপের জন্য)
• একাধিক মেশিনে আপনার নিজের অ্যাকাউন্টে পাসওয়ার্ডহীন লগইনগুলির জন্য, আমি আপনাকে শারীরিকভাবে টাইপ করা প্রতিটি মেশিনের জন্য একটি পাসওয়ার্ডযুক্ত কী তৈরি করার পরামর্শ দিচ্ছি এবং আপনি যখন ব্যবহার করবেন তখন কী-মেমরিটি সঞ্চয় করতে এসএসএইচ এজেন্ট ব্যবহার করুন। এজেন্ট ফরওয়ার্ডিং আপনাকে প্রতিটি দূরবর্তী হোস্টে কী তৈরি না করে হোস্ট থেকে হোস্টে "হপ" করতে দেয়।
• অটোমেটেড, পাসওয়ার্ডহীন এসএসএইচ কীগুলির জন্য, আমি কী চালাতে পারি সেই কমান্ডগুলিকে সীমাবদ্ধ করার প্রস্তাব দিই। আপনার authorized_keysফাইলে আপনার প্রতিটি কী এর সাথে উপসর্গ করুন:
  command="<allowed command line here>",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty

8-9 বছর আগে আমি শত শত স্থানীয় ব্যবহারকারীর সাথে ভাগ করা ব্যবহারকারীর পরিবেশে কাজ করেছি এবং এসএসএইচ-কি-ভিত্তিক লগইনগুলি অক্ষম করা হয়েছে কারণ কীগুলিতে পাসওয়ার্ড নীতিমালা প্রয়োগ করার কোনও উপায় ছিল না। এতক্ষণ আপনি দৃশ্যের পুরোপুরি নিয়ন্ত্রণ করছেন, আজকাল এসএসএইচ কীগুলি কেবল পাসওয়ার্ড ব্যবহারের চেয়ে ভাল।

হ্যাঁ, ইন্টারনেটের বেশিরভাগ গাইড সুরক্ষিতভাবে কাজ করার পরিবর্তে পাসওয়ার্ডহীন এসএসএসে কাজ করা বন্ধ করে দেয়। এই গাইডটি ঝুঁকি কমাতে কী করা যেতে পারে তা দেখানোর জন্য একটি ভাল কাজ করে। মূলত (নিবন্ধটি উদ্ধৃত করার জন্য):

• কাজের জন্য একটি একক উদ্দেশ্যে ভূমিকা অ্যাকাউন্ট তৈরি করুন: অর্থাত dnssyncপ্রতিটি মেশিনে একজন ব্যবহারকারী
• যদি সম্ভব হয় তবে রুট হওয়ার উপর নির্ভর করে এই ব্যবহারকারীর দ্বারা ফাইলগুলি লিখনযোগ্য করে তুলুন
• সেই বিটগুলির জন্য যা সত্যিকারের অধিকারী অ্যাক্সেসের প্রয়োজন, এটি করার জন্য একটি স্ক্রিপ্ট তৈরি করুন এবং sudo ব্যবহার করুন
• পাসফ্রেজ-কম কীগুলি সীমাবদ্ধ করতে ফাইলগুলিতে ব্যবহার command=এবং from=বিকল্পগুলিauthorized_keys
• ফাইল স্থানান্তর করার জন্য, রিসিভিং মেশিনে আরএসসিএনসি ব্যবহার করে এটি করার জন্য একটি স্ক্রিপ্ট লিখুন , যাতে দূরবর্তী অ্যাক্সেস কেবল পঠনযোগ্য হতে পারে
• যদি এর অর্থ এটি হয় যে রিমোট মেশিন থেকে আরম্ভের মেশিনে ফিরে যাওয়া প্রয়োজন, ssh-agentদ্বিতীয় পাসফ্রেজ-কম কী তৈরির পরিবর্তে ব্যবহার করুন

Ssh কী নিয়ে বেশ কয়েকটি সমস্যা রয়েছে:

কোনও চাবি প্রত্যাহারের কোনও কেন্দ্রীভূত উপায় নেই।

কীগুলিতে পাসওয়ার্ড নীতিমালা প্রয়োগ করার কোনও উপায় নেই (আপনার ব্যক্তিগত কী এনক্রিপ্ট করা আছে, এবং যদি তা হয় তবে এটি একটি ভাল পাসওয়ার্ড দিয়ে এনক্রিপ্ট করা হয়?)

কার্বেরোসগুলি সমাধান করে এমন সমস্যাগুলি। এটি অন্যকে পরিচয় করিয়ে দেয়, যদিও এটি প্রয়োগ করা আরও জটিল এবং স্থাপনা এবং পরিচালনা করার জন্য একটি বাস্তব ব্যবহারকারী ব্যবস্থাপনার অবকাঠামো প্রয়োজন।

যাইহোক, যদিও ssh অনুমোদিত_ keys মরিস-কৃমি ধরণের আক্রমণগুলির অনুমতি দেয় , এটি এখনও .r পরিষেবাগুলি এবং মাইল (আলোক-বছর) দ্বারা টেলনেটের চেয়ে ভাল

যে কোনও পরিবেশে আমার নিয়ন্ত্রণ ছিল, সেবারের অ্যাকাউন্টগুলির সর্বনিম্ন সম্ভাব্য সুযোগ-সুবিধার জন্য আমি সর্বদা সত্যই আছি stick

এই ক্ষেত্রে, আমি এটি নিশ্চিত করার পরামর্শ দিচ্ছি যে রিমোট সার্ভারে থাকা ব্যবহারকারী অ্যাকাউন্টটি কেবলমাত্র এক্সিকিউটেবলের একটি ছোট, শক্তভাবে সংজ্ঞায়িত সেট চালানোর অনুমতিপ্রাপ্ত। এটি দূর করতে আপনি দূরবর্তী পার্শ্বের একাধিক অ্যাকাউন্ট এবং sudo ব্যবহার করতে পারেন।

এমনকি এই ক্ষেত্রে, আপনি এখনও স্থানীয় সুবিধাগুলি বৃদ্ধির বাগের সাপেক্ষে, সুতরাং সাবধানতা অবলম্বন করুন এবং সুরক্ষা বাগগুলি দৃ track়ভাবে অনুসরণ করুন keep