একাধিক কম্পিউটারে একই বেসরকারী ssh কী ব্যবহার করা কি খারাপ ধারণা?

35

আমি সম্প্রতি একটি ল্যাপটপ কিনেছি যা থেকে আমার ডেস্কটপ থেকে আমি একই দূরবর্তী হোস্টগুলি অ্যাক্সেস করতে পারি। আমার কাছে এটি ঘটেছে যে কেবলমাত্র আমার ডেস্কটপ থেকে আমার ল্যাপটপে প্রাইভেট কী ফাইলটি অনুলিপি করা এবং ~/.ssh/authorized_keysআমি যে সমস্ত হোস্টে অ্যাক্সেস করতে চাইছি তাতে ফাইলগুলিতে একটি নতুন কী যুক্ত করা এড়ানো সম্ভব হতে পারে । সুতরাং আমার প্রশ্নগুলি হ'ল:

  1. এটা কি সম্ভব?
  2. সুরক্ষার কোনও অ-স্পষ্ট প্রভাব আছে?
  3. কখনও কখনও আমি আমার ল্যাপটপ থেকে আমার ডেস্কটপে লগইন করব। যদি সেখানে একই কী ব্যবহার করা হত, তবে তাতে কি কোনও সমস্যা হবে?
security  unix  ssh 
জেসন ক্রেইটন
সূত্র
2
আমার সন্দেহ হয় আপনি অনুমোদিত_ কুকি বোঝেন, পরিচিত_হোস্ট নয়। পূর্ববর্তীটি আগতদের জন্য, পরে আউটগোয়িংয়ের জন্য।
ম্যাথু শিংকেল
ভালো বল ধরা. সংশোধন করা হয়েছে।
জেসন ক্রেইটন

উত্তর:

29

হ্যাঁ, এটি সম্ভব। আপনার ব্যক্তিগত কী একক মেশিনে আবদ্ধ নয়।

আপনি অ-সুস্পষ্ট বলতে কী বোঝেন তা নিশ্চিত নন, এটি প্রায়শই বিষয়গত;)। এটি আপনার কাছে খুব দৃ strong় পাসফ্রেজ সেট, কমপক্ষে 20 টি অক্ষর রয়েছে তা নিশ্চিত করে নেওয়া মোটেও খারাপ ধারণা নয়।

আপনার ডেস্কটপের মতো একই কীটির সাথে সংযোগ স্থাপনের কোনও সমস্যা নেই। আমি ল্যাপটপে আপনার কীটির জন্য একটি এসএসএল এজেন্ট স্থাপন করব এবং এজেন্টটিকে ডেস্কটপে ফরোয়ার্ড করব, সুতরাং আপনি সেখান থেকে যে সমস্ত সিস্টেমে অ্যাক্সেস করবেন সেগুলি আপনি সেই কীটি ব্যবহার করবেন।

লিনাক্স সিস্টেমে ssh-এজেন্ট ম্যান পৃষ্ঠা থেকে:

ssh- এজেন্ট একটি প্রোগ্রাম যা সর্বজনীন কী প্রমাণীকরণের জন্য ব্যবহৃত ব্যক্তিগত কীগুলি রাখা হয় (আরএসএ, ডিএসএ)। ধারণাটি হ'ল এক্স-সেশন বা লগইন সেশনের শুরুতে এসএসএইচ-এজেন্ট শুরু হয় এবং অন্যান্য উইন্ডো বা প্রোগ্রামগুলি এসএসএইচ-এজেন্ট প্রোগ্রামের ক্লায়েন্ট হিসাবে শুরু হয়। এনভায়রনমেন্ট ভেরিয়েবলের ব্যবহারের মাধ্যমে এজেন্টটি সনাক্ত করা যেতে পারে এবং ssh (1) ব্যবহার করে অন্য মেশিনগুলিতে লগ ইন করার সময় প্রমাণীকরণের জন্য স্বয়ংক্রিয়ভাবে ব্যবহৃত হতে পারে।

আপনি এটিকে আপনার ল্যাপটপে চালাবেন, হয় লিনাক্স / ইউনিক্স-এ এসএসএল-এজেন্ট প্রোগ্রাম (এটি ওপেনএসএইচএইচ সহ আসে) বা আপনি উইন্ডোজ ব্যবহার করেন তবে কুকুরছানা এজেন্ট সহ with আপনার কোনও দূরবর্তী সিস্টেমে চালিত এজেন্টের দরকার নেই, এটি আপনার ব্যক্তিগত কীটি স্থানীয় সিস্টেমে মেমরির মধ্যে রাখে যাতে এজেন্টে কীটি লোড করার জন্য আপনাকে কেবল একবার আপনার পাসফ্রেজটি প্রবেশ করতে হবে।

এজেন্ট ফরোয়ার্ডিং ssh ক্লায়েন্টের একটি বৈশিষ্ট্য ( sshবা পুটি) যা এজেন্টকে অন্য সিস্টেমে ssh সংযোগের মাধ্যমে কেবল চালিয়ে যায়।

jtimberman
সূত্র
1
Ssh এজেন্ট ফরওয়ার্ডিংয়ের বিষয়ে আপনি কী পরামর্শ দিচ্ছেন তা আমি পুরোপুরি বুঝতে পারি না। আপনি কি এই বিন্দুটি কিছুটা ব্যাখ্যা করতে পারেন? আমার উল্লেখ করা উচিত যে যখন আমার ল্যাপটপটি ব্যবহার করার দরকার হয় তখন আমি ডেস্কটপে সর্বদা অ্যাক্সেসযোগ্য হয়ে উঠতে পারি না।
জেসন ক্রেইটন
উত্তর আপডেট করেছেন :)
jtimberman
10

আমি আমার সমস্ত মেশিনে একক বেসরকারী কী ব্যবহার করতাম (এবং তাদের মধ্যে কয়েকটি আমি কেবল একজন প্রশাসক নয়, তবে একজন ব্যবহারকারী) তবে সম্প্রতি এটি পরিবর্তন করা হয়েছে। এটি একটি কী থাকা কাজ করে, তবে এর অর্থ যদি আপনাকে কীটি (যদি এটি আপস করা হয়) প্রত্যাহার করতে হয় তবে আপনাকে সমস্ত মেশিনে এটি পরিবর্তন করতে হবে।

অবশ্যই, যদি কোনও আক্রমণকারী অ্যাক্সেস পান এবং অন্য কোনও মেশিনে প্রবেশ করতে সক্ষম হন, তবে তারা সেই মেশিন থেকে কীটি পেতে পারেন, এবং আরও। তবে আমি কেবল একটি চাবি প্রত্যাহার করতে পারি এবং এই যন্ত্রটিকে লক আউট করতে পারি তা জানার জন্য এটি আমাকে কিছুটা নিরাপদ বোধ করে। এর অর্থ এই নয় যে আমার কাছে অনুমোদিত_কিজ ফাইল থেকে কীটি সরিয়ে ফেলতে হবে।

ম্যাথু শিনকেল
সূত্র
একটি পুরানো পোস্ট নেক্রো এর জন্য দুঃখিত, তবে আপনি কি মনে করেন যে পাসওয়ার্ডের সাহায্যে আপনার ব্যক্তিগত কী এনক্রিপ্ট করে এটিকে প্রশমিত করা হবে? বা আপনার ক্ষেত্রে, পাসওয়ার্ডটিও আপোষযুক্ত ছিল?
থার্ডেন্ডার
1
কীটিতে পাসফ্রেজ রেখে সম্ভবত এটি প্রশমিত করা হবে। বাস্তবে বাস্তবে , আপনি সম্ভবত ssh ফরওয়ার্ডিং (এজেন্ট ব্যবহার করে) ব্যবহার করতে পারেন, এবং তারপরে আপনার ব্যবহার করা আসল মেশিনে কেবল একটি কী থাকবে এবং এটি পাসওয়ার্ড দ্বারা সুরক্ষিত থাকবে।
ম্যাথু শিংকেল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.