একই এসএসএইচ সার্ভার কীগুলির সাথে একাধিক ডিভাইস থাকা কতটা খারাপ?

আমি এম্বেড থাকা ডিভাইসে কাজ করছি যা ফ্রিবিএসডি এবং এসএসএইচ চালায়।

আপনি কি জানেন যে, এসএসডি প্রথমবার বুট হয়ে গেলে এলোমেলোভাবে সার্ভার কীগুলির সেট তৈরি করতে পছন্দ করে। সমস্যাটি হ'ল আমরা কেবলমাত্র পঠনযোগ্য এসডি-কার্ড ফাইল সিস্টেমের সাথে (অ-আলোচনাযোগ্য) পণ্যটি শিপিং করব।

আমার দুটি বিকল্প যেমন আমি দেখছি সেগুলি হ'ল:

• সমস্ত ডিভাইসে একই sshd সার্ভার কী শিপ করুন
• একটি মেমরি ফাইল সিস্টেম মাউন্ট করুন এবং প্রতিটি বুটে সার্ভার কী উত্পন্ন করুন (ধীর ...)

সমস্ত ডিভাইসে একই সার্ভার কীগুলি চালনা করা কি কোনও বড় সুরক্ষা সমস্যা? এই আইটেমগুলি সরাসরি ইন্টারনেটে থাকবে না। একই ব্যক্তি এবং একই নেটওয়ার্কের মালিকানাধীন একাধিক ডিভাইস থাকবে।

বেশিরভাগ সময় ডিভাইসটি ইন্টারনেটে সংযুক্ত থাকবে না।

এসএসএইচ দিয়ে লগ ইন করা সাধারণ অপারেশনের অংশ নয়। এটি বেশিরভাগ প্রোগ্রামার এবং প্রযুক্তিবিদদের সুবিধার জন্য। গ্রাহকরা এসএসএইচ দিয়ে ডিভাইসে লগ ইন করবেন না।

একাধিক হার্ডওয়্যার ডিভাইসে একই সার্ভার কীগুলি ব্যবহার করার কী কী প্রভাব রয়েছে?

পিএস কেউ দয়া করে একটি ইন্টারনেট-অফ-জিনিসের ট্যাগ তৈরি করতে পারেন?

সম্পাদনা : আমি সমস্ত সার্ভারে (ডিভাইস) একই হোস্টের ব্যক্তিগত কীগুলি ইনস্টল করার কথা বলছি। ব্যবহারকারী হিসাবে সরকারী / ব্যক্তিগত কী হিসাবে বর্তমানে কী-ভিত্তিক লগইন ব্যবহার করার কোনও পরিকল্পনা নেই - এটি পাসওয়ার্ড লগইন হবে। আবার, সমস্ত সার্ভারে (ডিভাইস) একই পাসওয়ার্ড।

আমি জানি এটি সম্ভবত একটি খারাপ ধারণা। আমি কেন জানতে চাই কেন সঠিকভাবে এটি একটি খারাপ ধারণা যদিও আমি বাণিজ্য সম্পর্কে বুঝতে পারি।

হোস্ট-নির্দিষ্ট ডেটা যেমন এসডি কার্ড বা অন্যান্য পঠনযোগ্য কেবল মিডিয়াতে ssh হোস্ট কীগুলি সংরক্ষণ করার পরিবর্তে আপনি এটিকে এনভিআরএমে সংরক্ষণ করতে পারেন যা এটি এম্বেড থাকা সিস্টেমের জন্য for বুট করার সময় কীগুলি সংরক্ষণ এবং পুনরুদ্ধার করতে আপনার কিছু কাস্টম স্ক্রিপ্টিং করতে হবে তবে স্ক্রিপ্টগুলি প্রতিটি ডিভাইসের জন্য হুবহু একই রকম হবে।

আপনার সমস্ত ডিভাইসের সাথে একই কী জুড়ে শিপিংয়ের প্রভাব সরাসরি তাদের সাথে সংযুক্ত ক্লায়েন্টদের সুরক্ষার সাথে সম্পর্কিত, কারণ এর অর্থ হ'ল যে ডিভাইসে এটি সংযুক্ত হতে পারে তা অনন্যভাবে সনাক্ত করার কোনও উপায় নেই (কোনও এসএসএইচ ক্লায়েন্টের কাছ থেকে)। আপনার কী জুটি ফাঁস হওয়া উচিত, এটি এমআইটিএম আক্রমণে ব্যবহার করা যেতে পারে।

অন্যদিকে, প্রতিটি বুটের কীগুলি পুনরায় তৈরি করা ক্লায়েন্টদের উপর একটি সতর্কতা সঞ্চার করবে।

রেফারেন্সের জন্য, থেকে man ssh(1):

sshএটি সর্বদা ব্যবহৃত সমস্ত হোস্টের জন্য সনাক্তকরণযুক্ত একটি ডেটাবেস স্বয়ংক্রিয়ভাবে পরিচালনা করে এবং পরীক্ষা করে। হোস্ট কীগুলি ~/.ssh/known_hostsব্যবহারকারীর হোম ডিরেক্টরিতে সংরক্ষণ করা হয়। অতিরিক্ত হিসাবে, ফাইলটি /etc/ssh/ssh_known_hostsস্বয়ংক্রিয়ভাবে পরিচিত হোস্টগুলির জন্য চেক করা হয়। যে কোনও নতুন হোস্ট স্বয়ংক্রিয়ভাবে ব্যবহারকারীর ফাইলে যুক্ত হয়। কোনও হোস্টের পরিচয় যদি কখনও পরিবর্তিত হয় তবে এ sshসম্পর্কে সতর্ক করে এবং সার্ভারের স্পোফিং বা ম্যান-ইন-মধ্য-আক্রমণের প্রতিরোধ করার জন্য পাসওয়ার্ড প্রমাণীকরণ অক্ষম করে, যা অন্যথায় এনক্রিপশনটি অবরুদ্ধ করতে ব্যবহৃত হতে পারে। StrictHostKeyCheckingবিকল্প মেশিন যার হোস্ট কী জানা যায় না বা পরিবর্তন করেছেন লগইন নিয়ন্ত্রণ করতে ব্যবহার করা যাবে।

প্রথম বিকল্পটিতে মনে হচ্ছে, এসডিএইচ কীগুলি এসডি কার্ডে উপলব্ধ। সুতরাং যে কোনও ব্যবহারকারীর কার্ড নিতে এবং সেগুলি পড়তে পারে। সুতরাং মূলত আপনার ব্যক্তিগত কীগুলি (বেশিরভাগ) জনসাধারণের হয়ে উঠেছে।

এটি নীচের মতো ম্যান-ইন-মধ্য-আক্রমণের অনুমতি দেবে:

1. একজন ব্যবহারকারী আপনার ডিভাইস থেকে প্রাপ্ত ব্যক্তিগত কীগুলির সাথে একটি এসএসএইচ সার্ভার সেট আপ করে এবং সেই আইপি ঠিকানাটি আপনার প্রযুক্তিবিদকে দেয়।
2. আপনার প্রযুক্তিবিদ এসএসএইচ সংযোগের মাধ্যমে রুট পাসওয়ার্ড প্রবেশ করান।
3. ব্যবহারকারী এখন মূল পাসওয়ার্ডটি জানেন যা আপনার সমস্ত ডিভাইসের জন্য বৈধ।

তবে, আপনাকে প্রথমে রুট পাসওয়ার্ড ব্যবহার করা উচিত নয়, পরিবর্তে প্রমাণীকরণের জন্য ssh কী ব্যবহার করুন। যদি আপনি কেবল ল্যান থেকে লগইন করেন তবে ভাগ করা সার্ভার কীগুলির প্রভাব খুব কম ।

এসএসএইচও সামনের গোপনীয়তা সরবরাহ করে, তাই কোনও আক্রমণকারী কীগুলি থেকে উপকার পেতে কোনও মিথ্যা সার্ভার সেটআপ করতে সক্ষম হতে হবে; নিষ্ক্রিয়ভাবে ট্র্যাফিক স্নিগ্ধ করা এটিকে ডিক্রিপ্ট করার অনুমতি দেবে না।

আমি ভয়াবহ এই পড়া! আমি যারা একই এসএসএস হোস্ট কী সহ একই ক্লাস্টারে একাধিক মেশিন করেছি তা কখনই এটি করার সাহস পাবে না। কোনও পরিস্থিতিতে প্রশাসকের বিভিন্ন সেট সহ মেশিনগুলিকে ssh হোস্ট কীগুলি ভাগ করার অনুমতি দেবেন না to আপনি যখন আপনার সুরক্ষার অভাবের জন্য পোস্ট পাবেন তখন এইভাবে উন্মাদনা এবং চিৎকারের ভয়ঙ্কর চিহ্ন রয়েছে lies

দেখুন, আমি আপনাকে সত্যি বলছি, যে কোনও একটি ডিভাইসে আপস করে সে সমস্তটির সাথে আপস করে। একবার এটি প্রাপ্ত হওয়ার পরে, খারাপ লোকেরা ইচ্ছামতো এক থেকে অন্যটিতে ঝাঁপিয়ে পড়ার প্রত্যাশা করে এবং সুরক্ষাটি এমনভাবে ফিরে যায় যেন এটি পাতলা কাগজ।

যেহেতু আপনি উল্লেখ করেছেন যে এসএসএইচ অ্যাক্সেসটি শেষ ব্যবহারকারী / গ্রাহক দ্বারা ব্যবহৃত হয়নি আপনি ডিফল্টরূপে এসএসএইচ অ্যাক্সেস বন্ধ করতে চাইতে পারেন এবং যখন ডিভাইসটিকে "ডিবাগ" মোডে রাখা হয় তখন কেবল এটি অস্থায়ীভাবে সক্ষম করতে পারেন।

এরপরে আপনি একই ডিভাইসটি একই কী দিয়ে শিপ্ট করতে পারেন, ধরে নিয়ে আপনি "ডিবাগ" মোডটি সুরক্ষিত করেছেন সুতরাং ডিভাইসটি হ্যাক করার চেষ্টা করে কেউ এটি দূর থেকে ট্রিগার করতে পারে না।

অথবা ডিভাইসটি "ডিবাগ" মোডে চলে গেলে আপনার একটি নতুন কী উত্পন্ন হয়েছে - যাতে প্রতিবার ডিভাইসটি চালিত হওয়ার পরে আপনার কীগুলি উত্পন্ন করতে বুট-সময় নষ্ট করতে হবে না।

আপনার প্রতিবন্ধকতার উপর ভিত্তি করে এখানে একটি নমুনা আক্রমণ পরিস্থিতি রয়েছে:

যদি আপনার ডিভাইসগুলি থাকে তবে উদাহরণস্বরূপ একটি রাস্পবেরি পাই বলুন। আমি যদি উপরে উঠে এসডি কার্ডটি যেকোন থেকে ইঙ্ক করে ফেলি তবে আমি নিজের কম্পিউটারে এসডি কার্ডটি আটকে রাখতে পারি, এসএসডি কীটি খুঁজে পেতে এবং এটি যেখানে চাই সেখানে অনুলিপি করতে পারি। হতে পারে আমি আমার নিজের রাস্পবেরি পাই এবং একটি ইউএসবি ইথারনেট কার্ড ধরলাম। এখন আমি এটি আটকে রাখতে পারি কোনও লক্ষ্য ডিভাইসের মধ্যে এবং যেখানেই তারা চলেছে এবং এসএসএস সংযোগের জন্য নজরদারি করতে পারে। যখন আমি দেখি যে লক্ষ্য ডিভাইসটি একটি এসএসএস সংযোগ তৈরি করার চেষ্টা করছে, আমি এটি করি:

(target) <---> (my evil sshd <--> decrypted traffic <--> ssh) <---> (real server)
                                       |
                                       V
                                    log file

ওহ, এটা কি? আপনার পাসওয়ার্ডটি "আমি বিড়ালদের পছন্দ করি"? ছেলে, এটি একটি আকর্ষণীয় ইমেল যা আপনি আপনার স্ত্রীর কাছে প্রেরণ করেছেন। আমি বাজি রাখি যদি সে এই ইমেলটি পড়ে থাকে যে আপনি আপনার পাশের প্রতিবেশী স্ত্রীকে পাঠিয়েছেন।

সম্ভাবনাগুলি অফুরন্ত । এবং লক্ষ্য কখনই জানতে পারে না, কারণ sshd কীটি সত্যিকারের সার্ভারে পাওয়া একটির মতো। আপনার ডিভাইসটি প্রাপ্ত সুবিধাগুলির শারীরিক সুরক্ষার উপর নির্ভর করে, এটি অবিশ্বাস্যরকম তুচ্ছ হতে পারে । এটি করবেন না।

পরিবর্তে, আপনি ইতিমধ্যে প্রস্তাবিত তা করুন তবে এটি ঠিক করুন । আপনি নিজের ছবিটি লেখার আগে এই জাতীয় কিছু চালান:

ssh-keygen -f some-new-server
cp some-new-server /path/to/the/mounted/image/sshd/key
cp some-new-server.pub /path/to/the/mounted/image/sshd/key.pub

এবং এখন প্রতিটি সার্ভারে একটি নতুন কী রয়েছে। কারণ আপনি সত্যই, সত্যিকার অর্থে কোনও চাবির অনুলিপি বিতরণ করতে চান না। আমি সত্যই বলতে চাইছি এটি আপনার ঘরের চাবিগুলির একটি ছবি ছড়িয়ে দেওয়ার এবং আপনার বাড়ির ঠিকানা দিয়ে ইন্টারনেটে আপলোড করার মতো কমপক্ষে খারাপ।