আপনি যখন ভুল সার্ভারের সাথে সংযোগ দেওয়ার চেষ্টা করছেন তখন কী আপনার এসএসএইচ পাসওয়ার্ড প্রকাশিত হয়?

192

আপনি যখন দুর্ঘটনাক্রমে পাসওয়ার্ড শংসাপত্রগুলির সাথে ভুল সার্ভারের সাথে সংযোগ স্থাপনের চেষ্টা করছেন তখন প্রশাসকের পক্ষে আপনি যে পাসওয়ার্ডটি ব্যবহার করেছেন তা পড়তে এবং লগ ইন করা সম্ভব?

ssh password

— vfclists
সূত্র

11

এসএসএইচ পাসওয়ার্ড প্রমাণীকরণ পাসওয়ার্ড সহ সার্ভার সরবরাহ করে?

— জেমসডলিন

41

কোনও এসএসএস ক্লায়েন্টে আপনি প্রথমে সার্ভারটি প্রমাণীকরণ করেন এবং এটি করে আপনি বলেন "আমি বিশ্বাস করি আমি এই পাসওয়ার্ডটিকে আমার পাসওয়ার্ড বলতে পারি"। পরের বার আপনি যে বার্তাটি দেখেছিলেন তার দিকে গভীর মনোযোগ দিন: "এক্স এর সত্যতা প্রতিষ্ঠিত হতে পারে না R প্রতি একক সময় স্বয়ংক্রিয়ভাবে হ্যাঁ উত্তর দিতে ।

— kubanczyk

6

PasswordAuthentication noওপেনএসএইচ-তে ডিফল্টরূপে সেট করা সম্ভব এবং বিশ্বস্ত সার্ভারগুলির জন্য কেবল এটি সক্ষম (যদি / যখন প্রয়োজন হয়)। কঠোর হোস্ট কী পরীক্ষণ সাথে মিলিত ভাবে এটি করা উচিত নয় বেশিরভাগ কোর্সে সুবিধার একটি খরচে আপনার পাসওয়ার্ড প্রকাশক, থেকে আপনাকে রক্ষা।

— hobbs

6

@কুবানজাইক, যদি আপনি "অভ্যন্তরীণ: www.my-company.com" এ এসএসএইচ করতে চেয়েছিলেন তবে দুর্ঘটনাক্রমে "ssh www.my-company.com" টাইপ করা হয়েছে, সেই প্রম্পটটি আপনাকে রক্ষা করবে না - সম্ভবত উভয় সার্ভারই হ'ল আপনার বিশ্বস্ত তালিকায় এগুলি কেবলমাত্র আপনার দ্বারা চালিত হয় এবং অন্যটি তৃতীয় পক্ষ দ্বারা চালিত হয়।

— চিহ্নিত করুন

@ হাবসগুলিও, ChallengeResponseAuthentication noআমার মনে হয়

— ইলক্কাচু

215

সরল কথায়: হ্যাঁ

আরো বিস্তারিত...

আপনি যদি আমার মেশিনের সাথে সংযোগ স্থাপন করেন তবে আপনি জানেন না আমি কোনও সাধারণ sshসার্ভার চালাচ্ছি কিনা , বা পাসওয়ার্ডটি পাসওয়ার্ড লেখার জন্য পরিবর্তন করা হয়েছে been

আরও, আমার অগত্যা সংশোধন করার প্রয়োজন হবে না sshd, তবে একটি প্যাম মডিউল (যেমন ব্যবহার করা pam_script) লিখতে পারলাম , যা আপনার পাসওয়ার্ডটি দিয়ে যাবে।

তাই হ্যাঁ. আপনার পাসওয়ার্ড কখনও অবিশ্বস্ত সার্ভারে প্রেরণ করুন। মেশিনের মালিক সহজেই সমস্ত চেষ্টা করা পাসওয়ার্ড লগ করতে কনফিগার করতে পারতেন।

(প্রকৃতপক্ষে এটি ইনফোজেক বিশ্বে অস্বাভাবিক নয়; পাসওয়ার্ডের চেষ্টা করার জন্য একটি হানিপোট সার্ভার স্থাপন করুন)

— স্টিফেন হ্যারিস
সূত্র

13

সঠিক। ডিফল্টরূপে, মান পাসওয়ার্ডগুলিতে লগ sshdকরে না । (আপনি যদি লগইন নাম হিসাবে আপনার পাসওয়ার্ডটি প্রবেশ করেন তবে এটি লগইন হবে, তবে এটি অন্য সমস্যা)। মানটি sshdএকটি সুরক্ষা সরঞ্জাম, এবং সুতরাং এর মতো শংসাপত্রগুলিতে লগ করা হবে না

— স্টিফেন হ্যারিস

116

তবুও সরকারী / ব্যক্তিগত কী

— জোড়

3

আমি কিছুক্ষণের জন্য আমার পাসওয়ার্ডগুলির ব্যবহার সম্পর্কে ভাবছিলাম এবং এটি সম্প্রতি আমার উপর ছড়িয়ে পড়ে যে ভুল সার্ভারগুলিতে লগ ইন করার চেষ্টা করা কোনও দূষিত সার্ভার প্রশাসকের কাছে আমার পাসওয়ার্ডটি প্রকাশ করার একটি ভাল উপায়।

— vfclists

10

আপনার সার্ভারের ক্লায়েন্ট প্রতিটি সার্ভারের জন্য আঙুলের মুদ্রণ সংরক্ষণ করার জন্য @vfclists ভুল সার্ভারে লগইন করা ঠিক সেই কারণ। আপনি যখন প্রথম সংযুক্ত হন, আপনি সেই আঙুলের ছাপটি গ্রহণ করেন, তারপরে যদি এটি মেলে না, আপনি একটি দুর্দান্ত সতর্কতা পেয়ে যাবেন যা আপনার উচিত।

— হোমটোস্ট

44

আরও ভাল পরামর্শ: ssh- এর জন্য পাসওয়ার্ড প্রমাণীকরণ কখনই ব্যবহার করবেন না । প্রোটোকল খুব ভাল কারণে পাবকি লেখক আছে; এটা ব্যবহার করো!

— আর ..

52

হ্যাঁ.

এনক্রিপ্ট হওয়া সংযোগ স্থাপনের পরে পাসওয়ার্ডটি প্রেরণ করা হয়, তবে রিমোট সার্ভারটি সরলরেখায় পাসওয়ার্ডটি পায়।

আপনি যদি সেটির প্রতি যত্নশীল হন তবে এসএসএইচ কীগুলি ব্যবহার করা সবচেয়ে ভাল এবং সহজ সমাধান।

যদি আপনার কাছে এমন মেশিন থাকে যা কীগুলি গ্রহণ করতে পারে না, তবে একটি সমাধান হ'ল এমন একটি সরঞ্জাম তৈরি করা যা আপনার পাসওয়ার্ডগুলি নিরাপদে সংরক্ষণ করে এবং তারপরে sshpassআপনি যে সার্ভারটি সংযোগ করছেন তার উপর নির্ভর করে সর্বদা সঠিক পাসওয়ার্ড প্রেরণ করতে পারে।

এখন, পাসওয়ার্ডটি প্লেইন টেক্সটে প্রেরণের কারণটি হ'ল এটি হ্যান্ডলিং এবং সংরক্ষণের সমস্ত সিদ্ধান্তকে দূরবর্তী প্রান্তে ফেলে দেয় এবং ক্লায়েন্টটি সম্পূর্ণ বোবা হতে পারে। লিনাক্স এবং বিএসডি সিস্টেমে গত দশ বছর বা ততোধিক সময়ে (ক্রিপ্ট (3) ) বিভিন্ন ধরণের পাসওয়ার্ড হ্যাশিং (স্টোরেজ) ফর্ম্যাট ব্যবহার করা হয়েছে , যার কোনওটিরই ক্লায়েন্টের সমর্থন প্রয়োজন নেই।

যদিও এটি আংশিকভাবে ইতিহাসের কারণে, এটিও (যেমন এটি সর্বদা এরকম ছিল)। আরও ভাল চ্যালেঞ্জ-প্রতিক্রিয়া প্রমাণীকরণ প্রোটোকল যা এমনকি পাসওয়ার্ড সহ ব্যবহার করা যেতে পারে। উদাহরণস্বরূপ এসআরপি , যা প্রমাণীকরণের সময় দলগুলিকে একটি ভাগ করা গোপন সরবরাহ করে। এটি কিছু এসএসএইচ সার্ভারের জন্য প্রয়োগ করা হয়েছে, তবে ওপেনএসএসএইচের জন্য প্যাচটি একটি (খুব) পুরানো সংস্করণের জন্য।

— ilkkachu
সূত্র

1

পাসওয়ার্ড প্রমাণীকরণের জন্য চ্যালেঞ্জ-প্রতিক্রিয়া প্রোটোকলগুলির সাথে সমস্যাটি হ'ল তাদের মধ্যে কিছুটির জন্য প্লেইন-পাঠ্যে পাসওয়ার্ডটি সংরক্ষণ করার জন্য সার্ভারের প্রয়োজন হয়। যদি চ্যালেঞ্জ-প্রতিক্রিয়া প্রোটোকলটি সার্ভারকে একটি হ্যাশ পাসওয়ার্ড সংরক্ষণের অনুমতি দেয়, তবে সম্ভবত এটির জন্য খুব নির্দিষ্ট একটি হ্যাশিং অ্যালগরিদম প্রয়োজন।

— ক্যাস্পার্ড

8

পাসওয়ার্ডগুলি সাধারণত "প্লেইনটেক্সট" এ প্রেরণ করা হয় (অর্থাত্ প্রকৃতপক্ষে স্পষ্ট নয়, তবে কেবলমাত্র সুরক্ষা যে অন্তর্নিহিত এসএসএইচ | টিএলএস | সংযোগ যা দেয় তা সরবরাহ করে)। পাসওয়ার্ডগুলির ক্লায়েন্ট-পাশ এবং হ্যাশ প্রেরণের জন্য বলা একটি সিস্টেম যদি সার্ভারগুলির কাছে আসল পাসওয়ার্ড প্রাপ্ত করার উপায় না থাকে এবং পরিবর্তে পাসওয়ার্ড হ্যাশ সরবরাহ করতে পারে এমন কাউকে অ্যাক্সেস দেয় , হ্যাশ পাসওয়ার্ড-সমতুল্য করে ।

— ব্ল্যাকলাইট জ্বলজ্বল

1

@ ব্ল্যাকলাইটশাইনিং জিরো-নলেজ পাসওয়ার্ডের প্রমাণ রয়েছে, তবে এসএসএইচ-তে ব্যবহৃত হয় না কারণ তাদের জন্য স্ট্যান্ডার্ড পাসওয়ার্ড ডেটাবেস ব্যবহার করার উপায় নেই এবং কী-ভিত্তিক প্রমাণীকরণের পরিবর্তে এগুলি ব্যবহার করার কোনও সত্যিকারের বিন্দু নেই।

— র্যান্ডম 832

প্রমাণীকরণের জন্য ব্যবহৃত পাসওয়ার্ডগুলি আমি কোথায় দেখতে পাব? তারা /var/log/auth.log এ নেই, তবে কোথায়?

— アレックス

ওপেনএসএইচ পাসওয়ার্ডগুলি, ব্যর্থ বা অন্যথায় লগ করবে না। (আমি অন্যান্য এসএসএইচ সার্ভারের সাথে খুব বেশি পরিচিত নই।) প্রায় সমস্ত বৈধ ইনস্টলেশনগুলিতে, এটি প্রদান করতে পারে এমন কোনও মান ইচ্ছাকৃতভাবে পাসওয়ার্ড রেকর্ডিংয়ের অন্তর্ভুক্ত ঝুঁকির চেয়েও বেশি হবে which যার কয়েকটি বৈধ ব্যবহারকারীরা টাইপ তৈরির মাধ্যমে সরবরাহ করেছিলেন might বা ক্লিয়ারটেক্সটে একটি ভুল-তবে-কিছু-অন্য-জন্য পাসওয়ার্ডের চেষ্টা করেছি। এটি করার যদি আপনার কাছে ভাল কারণ থাকে তবে ওপেনএসএসএচ প্যাচ করা সহজ হবে।

— musicinmybrain

10

স্টিফেন হ্যারিসের উত্তরের উপরে তৈরি করতে, আমি এখানে নির্মিত একটি রিয়েল-টাইম ভিউ দেখিয়েছি যা দেখায় যে ssh ওভার বাক্সের সাথে সংযোগ করার সময় কোনও পরিবর্তিত পিএএম লেখক স্ক্রিপ্ট ক্যাপচার করতে সক্ষম হবে (প্রকারের হানিপোট)। আমি পিএএম লাইব্রেরি lib-storepw এর একটি পরিবর্তিত সংস্করণ ব্যবহার করি।

https://livesshattack.net

https://livesshattack.net/about

— উইলি এস।
সূত্র

4

মূলত লিঙ্কগুলির উত্তরগুলি লিংকটি অনুপলব্ধ হয়ে ওঠে (আপনি ব্যক্তিগতভাবে এই সাইটটি বজায় রাখছেন বলে মনে হচ্ছে তবে এখনও)। আপনি কীভাবে পাঠকদের জন্য আপনার লেখক স্ক্রিপ্টটি দিয়ে এটি পরিচালনা করেছিলেন তার কিছুটা বর্ণনা করা উচিত।

— সেন্টটিমান

এটি আর কাজ করছে না, আমি পাসওয়ার্ড হিসাবে একটি বিশাল স্ট্রিং প্রেরণ করেছি, আমি মনে করি এটি ভেঙে থাকতে পারে, দুঃখিত: - /

— স্কটিডেল্টা

@scottydelta যদিও আমি এটি খতিয়ে দেখিনি, পাসওয়ার্ডের আকারের প্যাম মডিউল বা এসএসএইচ ডিমন নিজেই প্রমাণীকরণের চেষ্টায় স্বীকার করতে পারে তার উপর বাফার সীমা থাকতে পারে। সাইটটি এখনও যেমনটি আমি ইচ্ছা করেছিলাম তেমন কাজ করছে, যদিও এসএসডিডি বা পিএএম মডিউল দ্বারা গৃহীত বাফার সীমাটি হ্যান্ডেল করবে যদি এটি সত্যই ঘটে থাকে।

— উইলি এস।

আপনার পরিবর্তিত লাইব-স্টোরপাবির উত্সটি অন্যের ব্যবহারের জন্য কী অযোগ্য?

— টিম ফ্লেচার

2

এসএসএইচ একটি প্রোটোকল যা পারস্পরিক বিশ্বাস প্রয়োজন। এই কারণেই ওপেনএসএসএইচ ক্লায়েন্ট প্রথম ব্যবহারের স্কিমের উপর তার বিশ্বাস বাস্তবায়নের জন্য একটি ज्ञात_হোস্ট ফাইলটি বজায় রাখে।

আপনি যখন কোনও এসএসএইচ সার্ভারে লগইন করার চেষ্টা করছেন, সফ্টওয়্যারটি কে সরবরাহ করেছে বা কোন ডেটা এটি লগ করার জন্য কনফিগার করা হয়েছে তা নির্বিশেষে, আপনি কিছু প্রমাণীকরণ পদ্ধতিতে অংশ নিচ্ছেন। পাসওয়ার্ড প্রমাণীকরণ ব্যবহার করার সময়, আপনি নিজের পাসওয়ার্ডটি সেই সার্ভারে স্থানান্তর করছেন। এই কারণেই অসমमितিক ক্রিপ্টোগ্রাফি (পাবলিক কী, শংসাপত্রগুলি) সুপারিশ করা হয় - সার্বজনীন কী ক্রিপ্টোগ্রাফি আপনার শংসাপত্রগুলি প্রকাশের ঝুঁকিকে ব্যাপকভাবে হ্রাস করে। (যদিও এটি আপনাকে এসআইএস-এজেন্ট ফরওয়ার্ডিং বা অনুরূপ কোনও স্কিম ব্যবহার করে কোনও এমআইটিএম আক্রমণ থেকে রক্ষা করতে পারে না))

— jvoorhis
সূত্র

এসএসএইচকে পারস্পরিক বিশ্বাসের প্রয়োজন হয় না, বা কমপক্ষে প্রতিসম বিশ্বাসের প্রয়োজন হয় না। এটি সুনির্দিষ্ট হওয়া গুরুত্বপূর্ণ: পরিচিত_হোস্টগুলি বিশ্বাসযোগ্যতা সম্পর্কিত নয় authentic আপনি উল্লেখ হিসাবে, একটি কম বিশ্বস্ত হোস্টে একটি পাবলিক কী স্থাপন নিরাপদ। প্রকৃতপক্ষে, লগইন করতে একটি পাসওয়ার্ড ব্যবহার করার সাথে সাথে "নিরাপদ" রয়েছে, ধরে নিয়েই আপনি সেই পাসওয়ার্ডটি পুনরায় ব্যবহার করবেন না। (এটি সার্ভারকে আপনি যে ডিগ্রীতে অবশ্যই বিশ্বাস করেন ঠিক ততটাই নিরাপদ)) এমনকি হোস্টব্যাসেড এসএসএস লগিনগুলি অসমমিত বিশ্বাসের উপর নির্ভর করে।

— মার্কাহন