আমাকে কেন এসএসএইচের জন্য সার্বজনীন-কী প্রমাণীকরণ ব্যবহার করা উচিত?

আমি একটি এসএসএইচ সার্ভার চালাচ্ছি এবং আমি এখনও সহজ পাসওয়ার্ড প্রমাণীকরণ ব্যবহার করছি। সুরক্ষার বিষয়ে আমি যেখানেই পড়েছি আমাকে পাবলিক-কী প্রমাণীকরণ ব্যবহার করার পরামর্শ দেওয়া হচ্ছে। তবে আমি সুবিধাগুলি পাই না। সেগুলি ব্যবহার করা আমার দৃষ্টিতে হয় হয় অনিরাপদ বা অনেক সহজ কাজ।

অবশ্যই, যদি কেউ আমার এসএসএইচ সার্ভারে পাবলিক-কীতে লগইনকে নিষ্ঠুরতার সাথে চেষ্টা করার চেষ্টা করে তবে যে কোনও পাসওয়ার্ডের চেয়ে অনেক বেশি শক্তিশালী। তবে সেটিকে বাদ দিয়ে এটি সম্পূর্ণ নিরাপত্তাহীন।

পরামর্শদাতারা বেশিরভাগ যুক্তি দিয়ে থাকেন যে আপনাকে কোনও পাসওয়ার্ড মনে রাখতে হবে না। এটা কতটা নিরাপত্তাহীন? সুতরাং যদি কেউ আমার কম্পিউটারে হ্যাক করে তবে সে কেবল আমার কম্পিউটারটি পায় না, তবে আমার সার্ভারটিও? যদি আমি বিভিন্ন বিভিন্ন ক্লায়েন্টের এসএসএইচ ব্যবহার করি, আমাকে তাদের প্রত্যেককে পাবলিক কীগুলি সংরক্ষণ করতে হবে, যা তারা মিথ্যা হাতে পড়ার সম্ভাবনাটিকে বহুগুণে বাড়িয়ে তোলে। আমি আমার সাথে যে ইউএসবি-স্টিক রেখেছি সেগুলিতে আমি সেগুলি সঞ্চয় করতে পারতাম, তবে এটি হারিয়ে যেতে পারে এবং আমার সার্ভারে অনুসন্ধানকারীর অ্যাক্সেস রয়েছে।

সম্ভবত আমি দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে আরও ভালভাবে পরিবেশন করেছি।

আমি কি অনুপস্থিত কোন যুক্তি আছে? আমার জন্য সবচেয়ে ভাল উপায় কি?

যদি কেউ আমার কম্পিউটারে হ্যাক করে তবে সে কেবল আমার কম্পিউটারটি পায় না, তবে আমার সার্ভারটিও?

কীলগারদের সাথে এটি সম্ভবত সম্ভাব্য: আপোস করা কম্পিউটার থেকে আপনি আপনার সার্ভারে লগইন করার সাথে সাথে তারা পাসওয়ার্ডটি পেয়ে যান।

তবে কীগুলির 3 টি সুবিধা রয়েছে:

1) ক্যাশেযোগ্য প্রমাণীকরণ। আপনার পাসফ্রেজ একবার প্রবেশ করুন, একাধিক ssh কমান্ড প্রয়োগ। আপনি যদি scp, rsync বা git এর মতো পরিবহন হিসাবে ssh ব্যবহার করে এমন কিছু ব্যবহার করেন তবে এটি খুব কার্যকর।

2) স্কেলযোগ্য প্রমাণীকরণ। আপনার পাসফ্রেজ একবার প্রবেশ করুন, একাধিক মেশিনে লগ ইন করুন । আপনার যত বেশি মেশিন রয়েছে, এটি তত বেশি কার্যকর। আপনার যদি 100 টি মেশিন থাকে তবে আপনি কী করবেন? আপনি একই পাসওয়ার্ডটি ব্যবহার করতে পারবেন না (যদি না এটি ক্লোন ফার্ম) না থাকে এবং আপনি এটি অনেক কিছু মনে করতে পারেন না। সুতরাং আপনাকে একটি পাসওয়ার্ড পরিচালক ব্যবহার করতে হবে এবং আপনি আপস করার একক বিন্দুতে ফিরে এসেছেন। কার্যকরভাবে কী পাসফ্রেজটি হ'ল আপনার পাসওয়ার্ড পরিচালক।

2 বি) একই পদ্ধতিতে যদি আপনার একাধিক অ্যাডমিন থাকে তবে এটি অন্যভাবে স্কেল করে, কারণ আপনি বি, সি, ডি, ই, এফ ... না বলেই আপনি ব্যবহারকারী এ থেকে কীগুলি বাতিল করতে পারেন ... যে পাসওয়ার্ড পরিবর্তন হয়েছে changed

(এটি পৃথক অ্যাকাউন্ট এবং সুডো দিয়েও করা যেতে পারে তবে তারপরে আপনাকে সেই অ্যাকাউন্টগুলি কোনওভাবে প্রভিশন করতে হবে)

3) অটোমেশন এবং আংশিক প্রতিনিধি। যখন কোনও কী সংযোগ করে আপনি একটি নির্দিষ্ট কমান্ড চালাতে SSH সেট আপ করতে পারেন । দু'জনের মধ্যে সম্পূর্ণ পাসওয়ার্ডবিহীন বিশ্বাস না রেখে এটি সিস্টেম এ-তে একটি অটোমেটেড প্রক্রিয়া সক্ষম করে do

(এটি রোলগিন / আরশের প্রতিস্থাপন, যা হাস্যকরভাবে সুরক্ষিত ছিল না)

সম্পাদনা করুন: পাসওয়ার্ডের চেয়ে পাবলিক কীগুলির আর একটি সুবিধা হ'ল সাধারণ পরিস্থিতি যেখানে সার্ভার দুর্বলতার মধ্য দিয়ে আপস করা হয়। এই ক্ষেত্রে, পাসওয়ার্ড দিয়ে লগ ইন করা সঙ্গে সঙ্গে পাসওয়ার্ডকে আপস করে। চাবি দিয়ে লগইন করে না! আমি বলব এটি অ্যাডমিনের উত্পন্ন ডেস্কটপের সাথে আপোস হওয়ার চেয়ে বেশি সাধারণ।

আপনি যদি ভাল পাসওয়ার্ড ব্যবহার করেন তবে এটি যথেষ্ট সুরক্ষিত হতে পারে। আমি সাধারণত সর্বজনীনভাবে অ্যাক্সেসযোগ্য সার্ভারের সংখ্যা সর্বনিম্নের মধ্যে সীমাবদ্ধ করি এবং যখনই সম্ভব সম্ভব নির্দিষ্ট আইপি (গুলি) থেকে এসএসএইচকে অনুমতি দেই।

এছাড়াও, আপনি পাসফ্রেজ (পাসওয়ার্ড) দ্বারা আপনার কীগুলি সুরক্ষা দিতে পারেন। সুতরাং, যখনই আপনাকে আপনার সার্ভারে লগইন করতে হবে তখন এই পাসফ্রেজটি অবশ্যই প্রবেশ করতে হবে। সঠিক পাসফ্রেজ সরবরাহ না করা হলে কেউই আপনার কী ব্যবহার করতে পারবেন না।

অনুরূপ পোস্ট আছে:

1. সার্ভারফল্ট থেকে পোস্ট ।
2. সুরক্ষা স্ট্যাকেক্সচেঞ্জ থেকে পোস্ট ।
3. সুপারভাইজার থেকে পোস্ট ।

সর্বজনীন-কী অনুমোদনের আরও একটি উপায় হ'ল আক্রমণকারী যখন আপনার ক্লায়েন্ট কম্পিউটার এবং সার্ভারের মধ্যে ম্যান-ইন-দ্য মিডল (MitM) হওয়ার ব্যবস্থা করে এবং আপনি পরিবর্তিত হোস্ট কীটি লক্ষ্য করেন না (সম্ভবত কারণ আপনি করেন নি পুরানো কী নেই, উদাহরণস্বরূপ, কারণ এই নির্দিষ্ট ক্লায়েন্ট কম্পিউটারটি ব্যবহার করে এটি প্রথমবারের মতো)।

(আক্রমণকারী যখন সার্ভারের নিয়ন্ত্রণ নিতে সক্ষম হয় তখন একই প্রয়োগ হয় এবং অন্যান্য সার্ভার রয়েছে যেখানে একই শংসাপত্রগুলি কাজ করে))

স্ট্যান্ডার্ড পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণের সাথে, আপনি আপনার পাসওয়ার্ডটি (এনক্রিপ্ট করা সংযোগের অভ্যন্তরে) সরল পাঠ্যে জমা দিচ্ছেন, খাঁটি সার্ভারটি সাধারণত এটি হ্যাশ করে ফলাফলটির সাথে তার পাসওয়ার্ড ডাটাবেসে থাকা একটি হ্যাশের সাথে তুলনা করে। পরিবর্তে একটি এমআইটিএম আক্রমণকারী এই পাসওয়ার্ডটি নিতে পারে, প্রকৃত সার্ভারের সাথে একটি সংযোগ খুলতে এবং সেখানে লগইন করতে পারে ... এবং সামগ্রীগুলি আপনাকে ফরোয়ার্ড করতে পারে (যাতে আপনার কোনও কিছুই নজরে আসে না), বা কেবল আপনার সার্ভারে এটির নিজস্ব মন্দ জিনিসগুলি করাতে পারে ।

সার্বজনীন-কী প্রমাণীকরণের সাথে, ক্লায়েন্টটি বেসরকারী কীটির মালিকানাধীন রয়েছে তা প্রমাণ করার জন্য মূলত সার্ভার এবং ক্লায়েন্ট উভয়ই কিছু তথ্য স্বাক্ষর করে এবং সার্ভারে স্বাক্ষর প্রেরণ করে। এই স্বাক্ষরিত ডেটাতে একটি সেশন শনাক্তকারী অন্তর্ভুক্ত রয়েছে, যা ক্লায়েন্ট এবং সার্ভার উভয়ই বেছে নেওয়া এলোমেলো সংখ্যার উপর নির্ভর করে এবং প্রতিটি সেশনের জন্য এইভাবে আলাদা। যদি এমআইটিএম সত্যিকারের সার্ভারের সাথে নিজস্ব এসএসএইচ সংযোগটি খোলে, তার একটির আলাদা আলাদা সেশন আইডি থাকবে এবং এইভাবে ক্লায়েন্টের দেওয়া স্বাক্ষরটি সেখানে কাজ করবে না।

অবশ্যই, অন্যান্য উত্তর হিসাবে ইতিমধ্যে বলা আছে, আপনাকে আপনার ব্যক্তিগত কী নিরাপদ রাখতে হবে, যেমন একটি পাসফ্রেজের সাহায্যে এনক্রিপ্ট করা বা পৃথক ডিভাইসে সম্ভব যা কেবল পিন প্রবেশের পরে স্বাক্ষর তৈরি করে।

ওপেনএসএইচ এসএসএইচ হোস্ট এবং ক্লায়েন্ট কীগুলি পরিচালনা করতে তার নিজস্ব সিএ রাখতে পারে এবং তাদের উপর প্রত্যাবর্তনের তালিকা ব্যবহার করতে পারে। এটি কী-ভিত্তিক প্রমাণীকরণের দ্বারা সরবরাহিত সুরক্ষায় যোগ করতে পারে।

"আপনার পাসওয়ার্ডের দরকার নেই" দাবি সম্পর্কে আপনি ঠিক। এটি ক্লায়েন্টের পক্ষে সত্যই অনিরাপদ।

কি অনুমতি তোলে শুধুমাত্র অনেক বেশি নিরাপদ লগ ইন জন্য সার্বজনিক কী আসলে আপনার সার্ভারে পাশব বল অ্যাক্সেস করতে কোন উপায় নেই যে নেই। আক্রমণকারী যা অর্জন করতে পারে তা হ'ল আপনার সার্ভারে কিছু বোঝা চাপিয়ে দেওয়া - আপনি এটি আটকে রাখতে ব্যর্থ 2ban নিয়োগ করতে পারেন ।

ক্লায়েন্ট পক্ষের সুরক্ষার জন্য আপনাকে অবশ্যই একটি ভাল পাস বাক্যাংশ সহ প্রাইভেট কী রক্ষা করতে হবে। অবশ্যই এখন পাসওয়ার্ডের চেয়ে সার্ভারের সাথে সংযোগ করা আরও জটিল। এ থেকে উত্তরণের জন্য আপনি যদি পর পর কয়েকবার সার্ভারের সাথে সংযোগ স্থাপন করতে চান তবে প্রাইভেট কী মেমোরিতে সঞ্চয় করতে ssh এজেন্ট ব্যবহার করতে পারেন । কীটি কতক্ষণ স্মৃতিতে রাখা হবে তার জন্য সময় সীমাবদ্ধ করা ভাল অনুশীলন।

সম্ভবত আমি দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে আরও ভালভাবে পরিবেশন করেছি।

এসএসএইচের জন্য 2 এফএর জন্য একটি সম্ভাবনা (এবং এটির তুলনায় খুব কম সেটআপ / জটিলতা দরকার) আসলে পাবলিক কী এবং পাসওয়ার্ড ব্যবহার করা।

আমি বিশ্বাস করি যে কাজটি AuthenticationMethods publickey,keyboard-interactiveকরার /etc/ssh/sshd_configজন্য কিছু যুক্ত করা যেতে পারে ।

সাধারণভাবে, সমস্যাটি আরও বেশি যে পাসওয়ার্ডগুলি (একা) প্রমাণীকরণের জন্য দুর্দান্ত পদ্ধতি নয় কারণ এগুলি প্রায়শই সন্দেহজনক মানের are পাসওয়ার্ড বনাম কীগুলির জন্য খুব সাধারণ 'তর্ক' হ'ল একটি চাবি সাধারণত কমপক্ষে কমপক্ষে 2048 বিট হতে পারে এবং প্রায়শই বেশি (ইসি কীগুলির ক্ষেত্রে এটি কার্যকর আকারের পরিবর্তে কার্যকর শক্তি হবে)। এই বিটগুলি একটি ক্রিপ্টোলজিকালি সুরক্ষিত (বা উপযুক্ত) প্রক্রিয়া দ্বারাও উত্পন্ন হয়।

একটি পাসওয়ার্ড প্রায়শই 2048 বিটের চেয়ে কম হয় এবং প্রায়শই কোনও ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত উত্স থেকে প্রাপ্ত হয় না।

আপনি কীগুলি পাসওয়ার্ড দিয়ে সুরক্ষিত করতে পারেন যাতে সেগুলি হারাতে পারে সে সম্পর্কিত সমস্যা থেকে রক্ষা পেতে (যদিও কেউ সেই পাসওয়ার্ডটিকে জোর করে চেষ্টা করতে পারে))

সুতরাং মূলত, কীগুলি এবং পাসওয়ার্ডগুলির মধ্যে পার্থক্যগুলি মোটামুটি স্বচ্ছ তৈরি করা যায় এবং কীগুলি ব্যবহার করা আপনাকে কোনও মানুষের পক্ষে মোকাবেলা করার চেয়ে আরও ভাল পাসওয়ার্ড কিনে। এটি এগুলি একটি পেনেসিয়া বলে বোঝানোর নয়, তবে গড়ে তারা পাসওয়ার্ডের চেয়ে বেশি সুরক্ষা দেয়।