ভ্রমণের সময় হোটেলগুলি থেকে এসএসএইচ দ্বারা কোনও সার্ভারের সাথে সংযোগ স্থাপন করা কি সত্যিই নিরাপদ?

13

ভ্রমণের সময় হোটেলগুলি থেকে এসএসএইচ ব্যবহার করে কোনও সার্ভারের সাথে সংযোগ স্থাপন করা কি সত্যই নিরাপদ?

সার্ভার :
- CentOS 7
- শুধুমাত্র আরএসএ কী দ্বারা অনুমোদন - পাসওয়ার্ড প্রমাণীকরণ অস্বীকৃত
- অ-মানক বন্দর

ওয়ার্কস্টেশন :
- উবুন্টু 14
- ব্যবহারকারীর পাসওয়ার্ড
- আরএসএ কী ব্যবহার করার জন্য পাসওয়ার্ড (মানক পদ্ধতি)

সম্ভবত ব্যক্তিগত আরএসএ কীটির অর্ধেকটি একটি ইউএসবি স্টিকের উপরে রাখা ভাল , এবং স্বয়ংক্রিয়ভাবে (স্ক্রিপ্ট অনুসারে) সংযুক্ত হওয়ার আগে এই অর্ধেকটিকে ~ / .ssh / private_key এ যুক্ত করুন?

ইন্টারনেট হোটেলগুলিতে WIFI এর মাধ্যমে, বা ভাড়া অ্যাপার্টমেন্টে কেবল থাকবে।

ইউপিডি
প্রথমে অস্পষ্ট হওয়ার জন্য দুঃখিত। আমি এখানে দুটি দিক থেকে সুরক্ষা বলতে চাই:

  1. অবিশ্বস্ত নেটওয়ার্কের মাধ্যমে কেবল এসএসএইচ সংযোগের সুরক্ষা।
  2. এসএসএইচ সংযোগের জন্য প্রয়োজনীয় কম্পিউটারের সুরক্ষা - এটি চুরি হয়ে গেলে কীভাবে সার্ভারটি সুরক্ষিত করা যায় ...
security  physical-security 
সের্গেই সেরভ
সূত্র
অর্ধেক আরএসএ-কী কী? Ssh এর হোস্ট কী এর পাবলিক অংশ? আপনার ব্যবহারকারীর ssh কী এর অর্ধেক প্রাইভেট অংশ?
andol
অবশ্যই আমার প্রাইভেট আরএসএ কী এর অর্ধেক :) এবং স্বয়ংক্রিয়ভাবে স্ক্রিপ্টের মাধ্যমে সার্ভারের সাথে সংযোগের আগে এই অর্ধেকটি ~ / .ssh / private_key এ যুক্ত করুন।
সের্গে সেরভ
আপনি ইতিমধ্যে বেশিরভাগ লোকের চেয়ে বেশি সুরক্ষিত কারণ আপনি লিনাক্স চালাচ্ছেন। যেহেতু আপনি সাম্প্রতিক সংস্করণগুলি চালাচ্ছেন আপনার ওপেনএসএসএইচের নতুন সংস্করণ থাকা উচিত যা আরও শক্তিশালী ক্রিপ্টো সমর্থন করে। Tecmint.com/5-best-practices-to-secure-and-protect-ssh-server অনুসরণ করার পরে আপনি নিজেকে স্ট্রিবিকা.github.io/2015/01/04/secure-secure- এর
ছানা
3
@ ছিকগুলি "বেশিরভাগ লোকের চেয়ে বেশি সুরক্ষিত কারণ আপনি লিনাক্স চালাচ্ছেন" বলার মতো বোকামি। লিনাক্স, ইউনিক্স (ম্যাক) বা উইন্ডোজে চলছে কিনা তা নির্বিশেষে এসএসএইচ হ'ল এসএসএইচ। এবং আমরা সাম্প্রতিক ইতিহাসে লিনাক্সের অত্যন্ত গুরুতর সুরক্ষা ত্রুটিগুলি চিহ্নিত করতে পারি (হৃদয়গ্রাহী, যে কেউ?) শুধু বলছি, আসুন তারা যেখানে রয়েছে সেদিকেই নির্বাক ওএস শিখা যুদ্ধগুলি ছেড়ে দিন কারণ এটি আসল প্রশ্ন এবং সমস্যাগুলি থেকে বিক্ষিপ্ত হয়। ধন্যবাদ! ;-)
ক্রেগ
2
@ ছিকগুলি আমি অনুমান করি যে এটিই আমি জানাতে চাইছিলাম। সমস্ত ওএস-এর অনেকগুলি সুরক্ষা সমস্যা এবং মাইক্রোসফ্ট বেশ কয়েক বছর আগে তাদের "বিশ্বাসযোগ্য কম্পিউটিং * উদ্যোগ শুরু করার পর থেকে প্রচুর পদক্ষেপ নিয়েছে। আমি কেবল মনে করি" আপনি আরও সুরক্ষিত কারণ লিনাক্স "জিনিসটি কথোপকথনটিকে আসল ইস্যু থেকে সরিয়ে নিয়েছে ( সম্মানের সাথে)। ;-)
ক্রেগ

উত্তর:

25

সুতরাং, একটি স্পষ্টত অবিশ্বস্ত সংযোগের উপর একটি এসএসএস সংযোগ স্থাপন সম্পর্কিত।

পূর্ববর্তী সংযোগ থেকে আপনার ইতিমধ্যে একটি ~ / .ssh / জ্ঞাত_হোস্ট প্রবেশ রয়েছে বলে ধরে নেওয়া, হ্যাঁ নেটওয়ার্কটি নিরাপদ কিনা তা নিয়ে আপনার চিন্তাভাবনা না করেই আপনি সংযোগ করতে সক্ষম হবেন। আপনার যদি ssh হোস্ট কীটি যাচাইয়ের অন্য কোনও উপায় থাকে তবে তা একই হয়।

আপনি যদি সার্ভারের সাথে এর আগে কখনও সংযুক্ত না হয়ে থাকেন বা এসএসএস হোস্ট কী যাচাইয়ের অন্য কোনও উপায় না রেখে থাকেন তবে আপনি সংযোগের জন্য যে নেটওয়ার্কটি ব্যবহার করছেন সে সম্পর্কে আপনি আরও যত্নবান হতে চান।

andol
সূত্র
ধন্যবাদ!! সুতরাং এসএসএইচ দ্বারা কোনও সার্বজনীন উই-ফাইয়ের মাধ্যমে সার্ভারের সাথে সংযোগ স্থাপন করা কি নিরাপদ?
সের্গে সেরভ
7
প্রকৃতপক্ষে, এই উত্তরটি এমন কোনও অবস্থাতেই প্রযোজ্য যেখানে আপনি কোনও দূরবর্তী সার্ভারে স্যাশ করতে চান এবং পথের কোনও অংশই আপনার সম্পূর্ণ নিয়ন্ত্রণের অধীনে নেই (সুতরাং কার্যত নতুনভাবে ইনস্টল করা লোকালহোস্টে বা ক্রস-লিঙ্ক কেবলের মাধ্যমে ssh-ing ব্যতীত অন্য কিছু নয়) )
হেগেন ভন ইটজেন
6
এটি লক্ষণীয় যে ক্লায়েন্ট হোস্ট কীটি না জানলে পাসওয়ার্ডের প্রমাণীকরণ ব্যবহার করা হলে একটি পূর্ণ এমআইটিএম-আক্রমণ সম্ভব হবে। তবে কী ভিত্তিক প্রমাণীকরণ ব্যবহার করা হলে আক্রমণকারী কেবলমাত্র সার্ভারটির ছদ্মবেশ তৈরি করতে সক্ষম হবে। আক্রমণকারী আসল সার্ভারে প্রমাণীকরণ করতে সক্ষম হবে না। কোনও আক্রমণকারীর পক্ষে সেই ক্ষেত্রে সার্ভারের একটি দৃinc়প্রত্যয়ী ছদ্মবেশ প্রদান করা কঠিন, তাই আপনি লক্ষ্য করতে সক্ষম হতে পারেন যে কিছু দেরি হওয়ার আগেই কিছু ভুল হয়েছে। সংক্ষেপে: পাবলিক কী প্রমাণীকরণ পাসওয়ার্ড প্রমাণীকরণের চেয়ে অনেক বেশি নিরাপদ
ক্যাস্পারড
2
@ ক্যাস্পার্ড: আচ্ছা, যদি সংযোগকারী ক্লায়েন্টের এজেন্ট ফরোয়ার্ডিং সক্ষম থাকে তবে সর্বজনীন কী প্রমাণীকরণ সম্পূর্ণ এমআইটিএম অভিজ্ঞতা সরবরাহ করতে পারে। তবে হ্যাঁ, পাবলিক কী প্রমাণীকরণ অবশ্যই কোনও দিনই নিয়মিত পাসওয়ার্ডের চেয়ে বেশি পছন্দনীয়।
andol
1
@ ক্যাস্পার্ড: ঠিক আছে, আমি সহজেই কাউকে কেবল এজেন্ট ফরোয়ার্ডিং আবিষ্কার করে, তবে এটি পুরোপুরি বুঝতে না পেরে তাদের ~ / .ssh / কনফিগারেশনে "হোস্ট * \ n \ t ফরোয়ার্ড এজেন্ট হ্যাঁ" এর মতো কিছু রেখেছি তা সহজেই কল্পনা করতে পারি। লোকেরা সমস্ত ধরণের পাগল কাজ করে :-)
andol
11

আপনার প্রশ্নের দ্বিতীয় অংশে আপনি আপনার নোটবুকটি চুরি হয়ে যাওয়ার বিষয়ে উদ্বিগ্ন বলে মনে করছেন এবং এটির সাথে আপনার পাসওয়ার্ড-স্বল্প এসএসএইচ আপনার সার্ভারগুলিতে লগইন করার জন্য আপনার ব্যক্তিগত-কীগুলি রয়েছে।

দয়া করে মনে রাখবেন যে "পাসফ্রেজ" দিয়ে ব্যক্তিগত কীগুলি "এনক্রিপ্ট করা" সংরক্ষণ করে এটি সহজেই সমাধান করা যেতে পারে (প্রাইভেট কীগুলি ইস্যু): এগুলি প্রথমে এনক্রিপ্ট করা যেতে পারে, এসএসএস-কীজেন ইউটিলিটি তৈরি করার সময়, শেষে একটি পাসফ্রেজ সরবরাহ করে প্রজন্মের প্রক্রিয়া বা, যদি আপনার ইতিমধ্যে সেগুলি অনির্দিষ্ট করে থাকে, বিকল্পের সাথে ssh-keygen ইউটিলিটি ব্যবহার করে -p। একবার কীটি এনক্রিপ্ট হয়ে গেলে, প্রতিটি লগইনে আপনাকে সম্পর্কিত পাসফ্রেজ লিখতে বলা হয় এবং .... যদি সঠিক হয়, সবকিছু স্বাভাবিকভাবেই এগিয়ে যাবে।

এছাড়াও, আপনি যখন প্রতিবার এসএসএস ক্লায়েন্ট চালু করবেন তখন পাসফ্রেজটি প্রবেশ করতে না চাইলে আপনি এসএসএইচ-এজেন্ট ব্যবহার করতে পারেন : এটি এনক্রিপ্ট না করা ব্যক্তিগত কীগুলির মেমরিতে, রাখতে পারে। এনক্রিপ্ট করা কী ধরে থাকা ফাইলটির জন্য আপনি কেবল এসএসএড-অ্যাড পয়েন্টিং চালিয়ে যেতে পারেন এবং পাসফ্রেজ জিজ্ঞাসা করার পরে, কীটি এসএস-এজেন্ট দ্বারা পরিচালিত সেটে সংযোজন করা হবে। এরপরে, প্রত্যেকবার এসএসএইচ ক্লায়েন্টের জন্য পাসফ্রেজ-সুরক্ষিত কী প্রয়োজন হয়, এসএসএস-এজেন্ট স্বচ্ছভাবে এসএসএস ক্লায়েন্টকে সম্পর্কিত এনক্রিপ্ট করা ব্যক্তিগত-কী সরবরাহ করে। সুতরাং, আপনার জন্য এটি ইন্টারঅ্যাকটিভভাবে প্রবেশ করার প্রয়োজন নেই।

দয়া করে নোট করুন যে ssh- এজেন্ট প্রচুর কীগুলি পরিচালনা করতে পারে ssh-addএবং লগইন / প্রারম্ভকালে আপনি ইউটিলিটিটি (কীগুলির এসএস-এজেন্ট সেট পপুলেট করতে) চালু করতে আপনার নোটবুক / ডেস্কটপকে "টিউন" করতে পারেন ।

এছাড়াও, যদি কেউ আপনার ল্যাপটপটি চুরি করে, আপনার ব্যক্তিগত-কীগুলি সম্ভবত কেবলমাত্র "সংবেদনশীল" সামগ্রী নয় যা আপনি দিতে চলেছেন: দয়া করে নোট করুন যে আজকের লিনাক্স ডেস্কটপ বিতরণে "এনক্রিপ্ট করা" উপর নির্ভর করে একটি নোটবুক সেট আপ করা খুব সহজ "ফাইল সিস্টেম ( /homeএকটি স্টার্টার হিসাবে, তবে সম্পূর্ণ /প্রয়োজন হলে)। সুতরাং, দয়া করে, এটিও বিবেচনা করুন।

এর সর্বোপরি একথাও ঠিক যে, নেই না প্রয়োগ যদি না উপর নির্ভর আপনার নিজের নোটবুক।

পিএস: আপনার মাধ্যমে এনক্রিপ্ট করা প্রাইভেট কী-এর দুটি অংশকে বিভিন্ন মাধ্যমে সংরক্ষণ করার সম্ভাবনাটি রয়েছে: আমি আপনাকে দৃ advice ়ভাবে পরামর্শ দিচ্ছি যে এটি না করা, কেননা একটি এনক্রিপ্ট করা আকারে সংবেদনশীল কন্টেন্টের দুটি অংশ বজায় রাখা দুটি রাখার চেয়ে অনেক খারাপ, পুরো সামগ্রীর সম্পূর্ণ অনুলিপি, এনক্রিপ্ট করা!

দামিয়ানো ভেরজুলি
সূত্র
5

আপনার প্রশ্নের প্রথম অংশটি ইতিমধ্যে পূর্ববর্তী প্রতিক্রিয়া দ্বারা উত্তর দেওয়া হয়েছে। আপনার দ্বিতীয় অংশ হিসাবে, আমি আপনার ssh লগইনে pam_google_authenticator ব্যবহার করে একটি দ্বিতীয় ফ্যাক্টর যুক্ত করার পরামর্শ দেব। এটি মোটামুটি সহজ সেটআপ এবং কোনও ডিস্ট্রোতে কনফিগার করা। আপনি যে প্রাইভেট কীটি নিয়ে যাচ্ছেন সে ক্ষেত্রে চুরি হয়ে গেছে, তারা আপনার সার্ভারে লগইন করতে পারবেন না গুগল-প্রমাণীকরণকারীর কাছ থেকে টুটাইম ওয়ানটাইম পাসওয়ার্ড।

https://www.howtoforge.com/tutorial/secure-ssh-with-google-authenticator-on-centos-7

আরুল সেলভান
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.