কী + আইপি মিললে পরিবর্তে এসএসএইচ সার্ভারের উপর নির্ভর করুন

এসএসএস ক্লায়েন্ট কী আইপিএস এসএস সার্ভারের পিছনে রয়েছে (এবং যদি আগে কোনও আইপি এর পিছনে কোনও আলাদা সার্ভার থাকে) তবে এটি নির্দিষ্ট সার্ভার কীগুলিতে বিশ্বাস রাখে কি তা সম্ভব নয়? (এবং সম্ভবত এই কীগুলির ডাকনাম??) আমি গতিশীল ডিএনএস ব্যবহার করি এবং আমি কয়েকটি কম্পিউটারে আইপিভি 6 গোপনীয়তা এক্সটেনশন সক্ষম করে রেখেছি এবং এটি সংযুক্ত হওয়া নিরাপদ কিনা মনে করে সর্বদা জিজ্ঞাসা করা হচ্ছে। আর একটি সম্ভাবনা হ'ল ডিএইচসিপি দ্বারা নির্ধারিত ঠিকানাগুলি বিভিন্ন এসএস সার্ভারের জন্য বরাদ্দ করা এবং সমস্ত ধরণের 'কী'র সাথে আইপি মেলে না' ত্রুটি ঘটায়।

ssh

— Azendale
সূত্র

আমার সম্ভবত এটিও উল্লেখ করা উচিত ছিল যে এসএসএল-এর মাধ্যমে পরিবেশন করা ওয়েবপৃষ্ঠায় আমার প্রতিটি এসএসএস সার্ভারের জন্য আমার পাবলিক কীগুলির একটি তালিকা রয়েছে, সুতরাং আমি যদি একটি নির্দিষ্ট সার্ভার কী সেটটিতে সত্যই বিশ্বাস করি কিনা তা পরীক্ষা করার আমার একটি সহজ উপায় আছে।

— আজন্দলে

উত্তর:

আপনার সার্ভারের জন্য একটি ডাক নাম যুক্ত করুন ~/.ssh/configএবং CheckHostIPএই সার্ভারটির জন্য বন্ধ করুন ।

Host nickname
HostName example.dyndns.org
CheckHostIP no

আপনি প্রথমবার সার্ভারের সাথে সংযুক্ত হওয়ার আগে, আপনি সর্বজনীন কীটি বাইরের অফ-ব্যান্ডটি অনুলিপি করতে পারবেন: /etc/ssh/ssh_host_rsa_key.pubসার্ভার থেকে ধরুন, root@hostnameলাইনের শেষে অংশটি সরিয়ে ফেলুন , example.dyndns.orgশুরুতে যুক্ত করুন এবং এতে লাইনটি যুক্ত করুন ~/.ssh/known_hosts। ssh-keygen -Hহোস্টের নামটি হ্যাশ করতে O চ্ছিকভাবে চালান (যদি আপনি আপনার হার্ড ডিস্ক বা আপনার ব্যাকআপগুলি চুরি করে থাকেন তবে আপনি যদি সেই প্রবেশের গোপনীয়তার বিষয়ে উদ্বিগ্ন হন তবে এটি কার্যকর হয়, যা 99.99% লোকের পক্ষে অপ্রয়োজনীয় কারণ তথ্যটি নিকটবর্তী অন্য কিছুতে উপস্থিত রয়েছে যাইহোক অবস্থান)।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র

এর সাথে Host nickname, তার মানে কি আমি কেবল ssh nicknameএটির কাছে যেতে পারি? যদি তা হয় তবে তা বেশ ঝরঝরে।

— আজেন্ডালে

@ আজেনডেল: হুবহু, এটি একটি সাধারণ বৈশিষ্ট্য যা কোনও হোস্টের নাম এবং বিকল্পগুলির একটি সেট (ব্যবহারকারীর নাম, বুলিয়ান বিকল্পগুলি, টানেলস,…) দেয়।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'

ইন /etc/ssh/ssh_configলাইন যোগ

CheckHostIP no

তবে এটি এসএসএইচে কিছুটা সিকিউর কেড়ে নেয়, কারণ যে কোনও মেশিন আপনার সাথে সংযুক্ত আইপি বা ডাইনডিএনএস নামের পিছনে লুকিয়ে রাখতে পারে।

— htorque
সূত্র

এটি কোনও সুরক্ষা একেবারেই নেয় না। হোস্ট কী সংরক্ষণ করার সম্পূর্ণ পয়েন্টটি অন্য কম্পিউটারকে সনাক্ত করা। আপনার কাছে হোস্ট কী থাকলে সুরক্ষার জন্য নাম এবং আইপি ঠিকানা প্রাসঙ্গিক নয়। উদ্দীপনাযুক্ত বার্তাগুলি সরিয়ে ফেলা আসলে সুরক্ষার জন্য একটি লাভ (উত্সাহিত বার্তা আপনার মনোযোগ গ্রহণ করে যা একটি দুর্লভ সংস্থান)।

— গিলস 'অশুভ হওয়া বন্ধ করুন'

@Gilles: র manpage একমত নন। হ্যাঁ, সংযোগের জন্য আপনি কোনও সুরক্ষা হারাবেন না যেখানে কোনও সুপরিচিত আইপি-থেকে-হোস্ট সম্পর্ক নেই, অন্য ক্ষেত্রে আপনি ডিএনএস স্পোফিং আক্রমণগুলির বিরুদ্ধে সুরক্ষা ত্যাগ করেন (ম্যানপেজে বলা হয়েছে)।

— htorque

আপনি যে ম্যান পৃষ্ঠায় উল্লেখ করছেন তা আমি জানি না। যদি এটির বিবরণ হয় CheckHostIP, তবে না, এটি আপনাকে কোনও সুরক্ষা ত্যাগ করার কথা বলে না। এর সাথে CheckHostIP no, স্পুফারটিকে এখনও সার্ভারের প্রাইভেট কীটি পেতে হবে এবং যদি সে এটি করতে পারে তবে সম্ভবত সে তার আইপি অ্যাড্রেসটি ছল করতে পারে না can't

— গিলস

আমি কীটি বিশ্বাস করি তা জানতে পারলে কীভাবে ডিএনএস স্পোফিং বিপজ্জনক হতে পারে তার একটি উদাহরণ আপনি দিতে পারেন? আমি লগইন করতে পাবলিক কী প্রমাণীকরণ ব্যবহার করি, এটি এটি একটি দূষিত সার্ভারটি একটি পাসওয়ার্ড পেতে পারে না, তবে আমি যদি পাসওয়ার্ড ব্যবহার করি তবে কী হবে?

— আজেন্ডালে

সর্বজনীন কী প্রমাণীকরণ ব্যবহার করে সত্যই আপনার পাসওয়ার্ড সুরক্ষিত হয় না, সার্ভার আপনাকে এমআইটিএম করতে পারে এবং আপনি sudoবা অনুরূপ হলে আপনার পাসওয়ার্ড পেতে পারে ।

— রেরাম