আমার এসএসএইচ আরএসএ কীটির জন্য আমার একটি পাসফ্রেজ থাকা দরকার?


71

আমার বর্তমান কাজটি শুরু করার আগে (একটি ছোট ব্যবসায়) আমার অফিসে নেটওয়ার্কে কোনও ফায়ারওয়াল ছিল না এবং আক্ষরিক অর্থে কোনও কিছুই ব্যাক আপ করা হয়নি। এখন যেহেতু আমি ডেডিকেটেড সিসাদমিন / ওয়ান ম্যান-আইটি-বিভাগ হিসাবে স্বাক্ষর করেছি, এটি পরিবর্তন করতে আমি যা করতে পারি তা করে চলেছি। আমার বসকে আমরা কতটা দুর্বল তা বোঝানোর পরে, তিনি আমাকে কিছু ব্যাকআপ সার্ভার সেট আপ করার অনুমতি দিয়েছেন, যার মধ্যে একটি তার বাড়িতে রয়েছে।

এখনই, আমি সবকিছু সেট করার চেষ্টা করছি যাতে আমি প্রতিদিনের ব্যাকআপগুলি স্বয়ংক্রিয় করতে পারি। এটি করার জন্য আমি ssh এর মাধ্যমে rsync ব্যবহার করার পরিকল্পনা করছি। সুরক্ষার স্বার্থে এবং অটোমেশনের স্বাচ্ছন্দ্যের জন্য, আমি ssh পাসওয়ার্ড লগইনটি অক্ষম করার জন্য এবং কেবল আরএসএ কী বৈধতা ব্যবহার করার পরিকল্পনা করছিলাম। ঠিক আছে, যদি আমার কাছে আরএসএ পাসফ্রেজ সেট থাকে তবে আমাকে এখনও একটি পাসওয়ার্ড লিখতে হবে, এবং এটি একটি সমস্যা।

কোনও আরএসএ পাসফ্রেজ না রাখলে কী জিনিসগুলি উল্লেখযোগ্যভাবে কম সুরক্ষিত হয়? আমি কোম্পানির একমাত্র ব্যক্তি যার সম্পর্কে এই ধরণের সম্পর্কে কোনও ধরণের ইঙ্গিত রয়েছে, তাই আমার মেশিনে কেউ টার্মিনাল কল করার বিষয়ে আমি খুব বেশি চিন্তিত নই (যা আমি যখন এএফকে থাকি তখন সর্বদা লক থাকে) ) এবং ব্যাকআপ সার্ভারগুলির মধ্যে একটিতে এসএসএন-ইন করা এবং কোনও ক্ষতি করা। আমি এখনও সিস্টেম প্রশাসনের বিশ্বে খুব নতুন, এবং এটি আমার প্রথমবারের মতো এটি করা, এবং আমি সুরক্ষা সেটআপের কোনও গর্ত ছেড়ে যেতে চাই না।

এখানে প্রশ্নে থাকা কম্পিউটারগুলি উবুন্টু 10.10, এসএমই সার্ভার এবং ওএসএক্স 10.6 চালাচ্ছে যদি তা কোনওরকমভাবে কোনও পার্থক্য তৈরি করে।


5
আপনার কীতে কোনও পাসফ্রেজ না রেখে সুরক্ষায় আসলেই কোনও ক্ষতি হওয়া উচিত নয়। এই মুহুর্তে কীটির সুরক্ষা অখণ্ডতা বজায় রাখা অবিচ্ছেদ্য হয়ে যায় কারণ কেউ যদি এটি অনুলিপি করতে সক্ষম হয় তবে এমন কোনও গোপন কী নেই যা তাদের এটির ব্যবহার থেকে বিরত রাখতে পারে would
ক্রিস মেরিসিক

1
হতে পারে এটি কেবলমাত্র আমি, তবে উপরের মন্তব্যটি কী বলার চেষ্টা করছে তা আমার কোনও ধারণা নেই।
আন্ডারস্কোর_

3
@ আসর_আর_ তিনি মূলত বলেই চলেছেন: আপনার কীগুলির জন্য পাসফ্রেস রাখার বা না রাখার জন্য এসএসএইচ সুরক্ষার উপর কোনও প্রভাব ফেলবে না তবে আপনাকে কীগুলি স্থানীয়ভাবে সুরক্ষিত রাখতে হবে।
হার্টেটার

উত্তর:


89

যেমন আপনি জানেন, পাসফ্রেজটি আপনাকে যে সুবিধা দেয় তা হ'ল যদি কেউ আপনার ব্যক্তিগত কীটি পড়তে সক্ষম হয় তবে তারা এটি ব্যবহার করতে 'অক্ষম'।

যদি কেউ সেই ব্যক্তিগত কীটি অ্যাক্সেস করতে সক্ষম হন তবে আপনার এটিকে বিবেচনা করা উচিত যে তারা পাবলিক কী সহ যে কোনও মেশিন সেট আপ করেছেন তাদের অ্যাক্সেস (এডি) / আপস করেছে। .Bash_history বা .ssh / config এর মতো বিষয়গুলি কেবল এটি সহজ করে তোলে, এমনকি যদি আপনার .ssh / জ্ঞাত_হস্তগুলি অবরুদ্ধ থাকে।

আপনার কীতে পাসওয়ার্ড না থাকা পৃথিবীর শেষ নয়, এটি সত্ত্বেও নিজেকে আরও কিছুটা সুরক্ষিত করার জন্য আপনাকে এখানে 3 টি ধারণা দেওয়া হয়েছে। ( বিগি দ্বিতীয়, পড়ুন যে অন্য কিছু না হলে )


  1. সমস্ত মেশিন এবং ব্যবহারকারীদের মধ্যে কেবল একই কী ব্যবহার করবেন না। প্রতিটি মেশিনে প্রতিটি ব্যবহারকারীকে তৈরি করুন (এটির জন্য এই ধরণের জিনিসটি করা দরকার) এর নিজস্ব কী জুটি। এটি আপনাকে কোথায় ssh করতে সক্ষম তার উপর সূক্ষ্ম দানাদার নিয়ন্ত্রণ রাখতে দেয়।

  2. আপনার অনুমোদিত_কিজ ফাইলটিতে কী যুক্ত করার সময়, আপনি এটিকে লক করতে পারেন কেবলমাত্র একটি নির্দিষ্ট কমান্ড চালাতে, অথবা এটি কেবল একটি নির্দিষ্ট হোস্ট থেকে ব্যবহার করতে।

    কমান্ড = এবং = থেকে দেখুন man sshএবং অনুসন্ধান করুন

    বাক্য গঠনটি হ'ল কিছু:

    from="1.2.3.4",command="/path/to/executable argument" ssh-rsa key name

    অর্থাত্ সেখানে পপ 'আরএসইএনসি' এবং কেবল আপনার কী দ্বারা 'আরএসসিএনসি' কল করা যেতে পারে, এবং কেবলমাত্র আইপি ঠিকানা থেকে 1.2.3.4 from একাধিক আইপি দ্বারা পৃথক করা যেতে পারে ,। হোস্টের নামগুলিও সমর্থিত।

  3. আরেকটি বিষয় যা মনে মনে জাগে তা হ'ল আপনার sshd_config- এর 'AllowUser' নির্দেশ

    AllowUsers

    এই কীওয়ার্ডটি ফাঁকে আলাদা করে ব্যবহারকারীর নামের নিদর্শনগুলির একটি তালিকা অনুসরণ করতে পারে be যদি নির্দিষ্ট করা থাকে তবে লগইনটিকে কেবল এমন ব্যবহারকারীর নামের জন্য মঞ্জুরি দেওয়া হয় যা একটি নিদর্শনগুলির সাথে মেলে। '*' এবং '?' নিদর্শনগুলিতে ওয়াইল্ডকার্ড হিসাবে ব্যবহার করা যেতে পারে। শুধুমাত্র ব্যবহারকারীর নাম বৈধ; একটি সংখ্যার ব্যবহারকারী আইডি স্বীকৃত নয়। ডিফল্টরূপে, সমস্ত ব্যবহারকারীর জন্য লগইন অনুমোদিত। যদি প্যাটার্নটি ব্যবহারকারী @ @ HOST ফর্মটি গ্রহণ করে তবে নির্দিষ্ট হোস্ট থেকে নির্দিষ্ট ব্যবহারকারীদের জন্য লগইনগুলি সীমাবদ্ধ করে USER এবং HOST পৃথকভাবে চেক করা হবে।

    এটি মূলত নিশ্চিত করে যে ব্যবহারকারী কেবল একটি নির্দিষ্ট অবস্থান থেকে লগইন করতে পারে। (যদিও এটি ওয়াইল্ডকার্ডগুলিও গ্রহণ করে) আপনার সমস্ত সমস্যার সমাধান করতে যাচ্ছে না তবে এটি অন্যদের পক্ষে কমপক্ষে আরও কঠিন করে তুলবে।


1
সুন্দর - এটাই আমার জানা উচিত ছিল। তোমাকে অনেক ধন্যবাদ!
একজা

3
কোনও সমস্যা নেই, কেবল এটি একটি সম্পূর্ণ তালিকা হিসাবে গ্রহণ করবেন না! :-) নিয়মিত auth.log / নিরাপদ ইত্যাদি পর্যালোচনা করার মতো বিষয়গুলি মনে রাখবেন spring
প্রাইসচিল্ড

3
সুতরাং আপনার পাসফ্রেজটি চুরি হয়ে যাওয়ার বিষয়ে চিন্তা করার পরিবর্তে নিরীক্ষণ করা হচ্ছে?
এহতেশ চৌধুরী

3
@ শুরনে দুজনেই কর!
প্রাইসচিল্ড

4

পাসফ্রেজ কম বেদনাদায়ক করতে আপনি কীচেইনের মতো কিছু ব্যবহার করতে পারেন । এটি পাসওয়ার্ডহীন লগইন ব্যবহারের চেয়ে কিছুটা বেশি সুরক্ষিত এবং এখানে অন্য উত্তরগুলির সাথে মিলিয়ে ব্যবহার করা যেতে পারে। প্রাইসচিল্ডের উত্তরটি বেশ ভাল ছিল।


-4

ব্যক্তিগতভাবে আমি ডিএসএ ব্যবহার করি না আরএসএ, মূলত এটি কারণ যা আমি সবসময় ব্যবহার করি এবং আমি জানি এটি কেবল 'কাজ করে', তবে যে তত্ত্বটি আমি অনুমান করি তা একই is আপনি নীচের dsaসাথে প্রতিস্থাপন করতে পারে rsa

উত্সে:

$ ssh-keygen -t dsa

তারপরে গন্তব্যের ব্যবহারকারী অ্যাকাউন্টে .ssh/id_dsa.pubফাইলের বিষয়বস্তু অনুলিপি করুন .ssh/authorized_keys

তারপরে আপনার উত্স এবং কোনও পাসওয়ার্ড ছাড়াই গন্তব্যস্থলের মধ্যে স্যাশ করতে সক্ষম হওয়া উচিত।


1
আপনি আরএসএর চেয়ে ডিএসএর পক্ষে কোন যুক্তি আছে? আমি প্রায়শই বিপরীত প্রস্তাবিত দেখেছি।
প্রাইসচিল্ড

@ প্রাইসচাইল্ড: আফাইক, তাদের সুরক্ষা কম-বেশি সমতুল্য (যথেষ্ট মূল আকার অনুমান করে)। আমি নিজে ক্রিপ্টোগ্রাফার নন, আমি আরএসএলকে ডিফল্ট কী অ্যালগরিদম হিসাবে ব্যবহার করার ওপেনএসএসএইচ এবং জ্ঞানুপিজির সিদ্ধান্তকে বিশ্বাস করি। আরও দেখুন এই প্রশ্নের
মাধ্যাকর্ষণ

কোনও আসল কারণ নেই - মূলত ব্যক্তিগত পছন্দ - এটি এবং যে আরএসএকে সম্প্রতি এবং সংবেদনশীল কোড চুরি করা হয়েছে - এটি কীভাবে আরএসএ কীগুলির সাথে সম্পর্কিত তা আমার কোনও ধারণা নেই (কে করেন?) তবে এটি কেবল সুরক্ষিত বলে মনে হওয়ায় আমি সবসময় ডিএসএ ব্যবহার করেছি I ।
মাজনকো

9
আমি আশঙ্কা করছি "সংস্থা আরএসএ" এর হ্যাকের "অ্যালগরিদম আরএসএ" এর সুরক্ষায় কোনও প্রভাব নেই। এছাড়াও চেক আউট secure.wikimedia.org/wikipedia/en/wiki/RSA_Security - "আরএসএ আরএসএ পাবলিক কি ক্রিপ্টোগ্রাফি অ্যালগরিদম নামকরণ করা হয়েছে, যা তার সহ-আবিষ্কর্তাদের মধ্যে আদ্যক্ষর নামকরণ পালাক্রমে ছিল: রন Rivest আদি শামির এবং লেন অ্যাডলম্যান। "
প্রাইসচিল্ড

6
@Matt: শুধুমাত্র জিনিস যা তারা প্রচলিত আছে নাম। আরএসএ অসমমিতিক ক্রিপ্টো অ্যালগরিদম খাঁটি গণিত, কিছু কর্পোরেশনের সিস্টেমে ব্রেক-ইন করে এটি দুর্বল হওয়ার কোনও উপায় নেই
মাধ্যাকর্ষণ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.