সার্ভার প্রশাসক আমাকে ব্যবহারের জন্য একটি প্রাইভেট কী পাঠিয়েছে। কেন?


73

কোনও কোম্পানির স্টেজিং এবং লাইভ সার্ভারকে আমাদের স্থাপনার লুপের সাথে সংযুক্ত করতে আমার কোনও সার্ভার অ্যাক্সেস করার কথা রয়েছে। তাদের পাশের প্রশাসক দুটি দৃষ্টান্ত স্থাপন করে তারপরে এসএসএইচে আমাদের জন্য সার্ভারে একটি ব্যবহারকারী তৈরি করে। এই আমি অভ্যস্ত।

আমার মনে মনে এখন যা ঘটবে তা হ'ল আমি তাদের আমার সর্বজনীন কী পাঠাব যা তাদের অনুমোদিত কী ফোল্ডারের ভিতরে স্থাপন করা যেতে পারে। পরিবর্তে তারা আমাকে একটি ফাইলের নাম প্রেরণ করেছেন id_rsaযা ফাইলের অভ্যন্তরে -----BEGIN RSA PRIVATE KEY-----ইমেলের মাধ্যমে রয়েছে । এটা কি স্বাভাবিক?

আমি চারপাশে তাকিয়েছি এবং স্ক্র্যাচ থেকে নিজস্ব কী তৈরি করতে এবং সেট আপ করার জন্য প্রচুর সংস্থান খুঁজে পেতে পারি, তবে সার্ভারের ব্যক্তিগত কীগুলি থেকে শুরু করার কিছুই নেই । আমি কি নিজের জন্য কিছু কী তৈরি করতে এটি ব্যবহার করব?

আমি সিস্টেম অ্যাডমিনকে সরাসরি জিজ্ঞাসা করব তবে কোনও নির্বোধ দেখাতে এবং আমাদের মাঝে সময় নষ্ট করতে চাই না। তিনি আমাকে যে কীটি পাঠিয়েছেন তা কি কেবল উপেক্ষা করা উচিত এবং তাদের আমার ফোল্ডারটির ভিতরে আমার সার্বজনিক কীটি রাখতে বলি?


6
আমি এটিকে সাধারণ বা বুদ্ধিমান বলব না, তবে যেহেতু আপনার কাছে ব্যক্তিগত কী রয়েছে (ধরে নিলেন তারা ইতিমধ্যে এটি অনুমোদিত হিসাবে যোগ করেছেন) আপনি অন্য কোনও ব্যক্তিগত কী ব্যবহার করার কারণে এটি ব্যবহার করতে পারেন। আপনি সংশ্লিষ্ট সর্বজনীন কী প্রয়োজন হবে না, কিন্তু আপনি যদি চান, আপনি সবসময় এটা তৈরি করতে পারেন: askubuntu.com/a/53555/158442
muru

34
পথ -----BEGIN RSA PRIVATE KEY-----ই-মেইল ওভার নামে একজন ব্যবহারকারী দেখার পর পরবর্তী ভীতিকর জিনিস '); DROP DATABASE;--আপনার ব্যবহারকারী নাম টেবিলে।
দিমিত্রি গ্রিগরিয়েভ

62
@ দিমিত্রিগ্রিরিভ '); DROP DATABASE;--আপনার ডাটাবেস টেবিলের ব্যবহারকারী নাম হিসাবে দেখে ভয় পাওয়ার কিছুই নেই - এটি দেখায় যে আপনি সঠিকভাবে ব্যবহারকারীর ইনপুট থেকে পালিয়ে
এসেছেন

19
আপনি অবশ্যই এটি ব্যবহার করতে পারবেন না যেমন আপনি অন্য কোনও ব্যক্তিগত কী ব্যবহার করবেন। এটি ব্যক্তিগত নয়। অতএব এটি সম্ভবত ফাংশন, যার জন্য তৈরি হওয়ার পর মেটান করতে পারবে না। এটি ফেলে দেওয়া উচিত এবং ইউএনআইএক্স প্রশাসককে কঠোরভাবে শাস্তি দেওয়া উচিত। @ মুরু
ব্যবহারকারী 207421

7
যার কাছে এই ব্যক্তিগত কী রয়েছে তার নতুন সার্ভারগুলিতে অ্যাক্সেস রয়েছে। সম্ভবত সার্ভিসটি সেট আপ করতে সক্ষম হওয়ায় অ্যাডমিনের কী প্রয়োজন ছাড়াই যেকোন উপায়ে অ্যাক্সেস রয়েছে, সুতরাং তার দ্বারা অননুমোদিত অ্যাক্সেসের কোনও অতিরিক্ত হুমকি নেই। তবে এটি যেহেতু এটি আপনার চাবি তাই তিনি এখন নির্ভরযোগ্যভাবে আপনার ছদ্মবেশ তৈরি করতে পারেন। আপনার ব্যতীত অন্য কেউ ইমেলটি পড়ারও সুযোগ রয়েছে এবং তারপরে তারাও আপনার ছদ্মবেশ তৈরি করতে পারে।
ইমিগ্রিস

উত্তর:


116

আমার মনে মনে এখন যা ঘটবে তা হ'ল আমি তাদের আমার সর্বজনীন কী পাঠাব যা তাদের অনুমোদিত কী ফোল্ডারের ভিতরে স্থাপন করা যেতে পারে।

এখন যা হওয়া উচিত তাই "আপনার মনে" যা আছে তা সঠিক।

ইমেল যোগাযোগের কোনও সুরক্ষিত চ্যানেল নয়, সুতরাং যথাযথ সুরক্ষার দৃষ্টিকোণ থেকে আপনার (এবং তাদের) উচিত সেই ব্যক্তিগত কীটি আপোস করা বিবেচনা করা উচিত।

আপনার প্রযুক্তিগত দক্ষতা এবং আপনি কতটা কূটনৈতিক হতে চান তার উপর নির্ভর করে আপনি বিভিন্ন কিছু করতে পারেন। আমি নিম্নলিখিতগুলির মধ্যে একটি সুপারিশ করব:

  1. আপনার নিজস্ব কী তৈরি করুন এবং আপনি তাদের যে ইমেল প্রেরণ করেছেন তাতে পাবলিক কী সংযুক্ত করুন:

    ধন্যবাদ! যেহেতু ইমেলটি ব্যক্তিগত কীগুলির জন্য কোনও নিরাপদ বিতরণ পদ্ধতি নয়, আপনি কি দয়া করে আমার সার্বজনীন কীটি জায়গায় রেখে দিতে পারেন? এটি সংযুক্ত

  2. তাদের ধন্যবাদ জানাতে এবং তাদের জিজ্ঞাসা করুন যে তারা আপনাকে নিজের কী কীটি ইনস্টল করার বিষয়ে আপত্তি জানায়, যেহেতু তারা প্রেরিত ব্যক্তিগত কী ইমেলের মাধ্যমে প্রেরণের পরে আপোস হিসাবে বিবেচিত হবে।

    আপনার নিজস্ব কীপার তৈরি করুন, প্রথমবার লগ করতে আপনাকে যে কীটি পাঠিয়েছেন সেগুলি ব্যবহার করুন authorized_keysএবং নতুন পাবলিক কী (ফাইলের সাথে আপোস করা বেসরকারী কী অনুসারে সরকারী কী সরিয়ে ফেলতে) ফাইল সম্পাদনা করতে সেই অ্যাক্সেসটি ব্যবহার করুন )

নীচের লাইন: আপনি বোকা মত চেহারা হবে না। তবে, অন্যান্য প্রশাসককে খুব সহজেই একজন নির্বোধের মতো দেখতে তৈরি করা যেতে পারে। ভাল কূটনীতি যে এড়াতে পারে।


মন্টিহার্ডারের মন্তব্যের জবাবে সম্পাদনা করুন:

আমার প্রস্তাবিত ক্রিয়াকলাপের কোনওটিতেই "অন্য প্রশাসককে তিনি কী ভুল করেছেন তা না জানিয়ে জিনিস ঠিক করা" জড়িত নয়; আমি তাকে বাসের নীচে ফেলে না দিয়ে কেবল সূক্ষ্মভাবে করেছি।

যাইহোক, আমি যোগ হবে যে আমি চাই এছাড়াও অনুসরণ করা (সবিনয়ে) সূক্ষ্ম সংকেত সনাক্ত করুন কুড়ান করা হয় নি যদি:

হ্যালো, আমি দেখেছি আপনি কোনও অনিরাপদ চ্যানেল হিসাবে ইমেল সম্পর্কে আমার মন্তব্যটির প্রতিক্রিয়া জানালেন না। আমি নিশ্চিত হতে চাই যে এটি আর ঘটবে না:

আপনি কী বুঝতে পারছেন যে আমি ব্যক্তিগত কীগুলি সুরক্ষিতভাবে পরিচালনা করার বিষয়ে এই বিষয়টি করছি?

সেরা

তেকোনা টুপি পরা পেয়ালা


9
+1 সেরা উত্তর। এবং আমি যুক্ত করব: বিশেষভাবে সাবধান থাকুন যেহেতু এই সিসাদমিনটি অযোগ্য হিসাবে প্রমাণিত হয়েছে। বেটার আপনার পিছনে ঢেকে যখন (এবং যদি ) তিনি / সে ভাল জন্য সার্ভার স্ক্রু হবে।
dr01

2
ধন্যবাদ। আমি কিছু সূক্ষ্ম বাক্য ব্যবহার করেছি এবং আমার সর্বজনীন কী জুড়ে পাঠিয়েছি। এটি সমস্ত সমাধান হয়ে গেছে বলে মনে হচ্ছে তবে তিনি এখন আমাকে যে কীটি প্রেরণ করেছেন তা আমি অমান্য করব।
টবি

27
এটি এমন নয় যে অন্যান্য প্রশাসককে "বোকামির মতো দেখানো যায়"। এটি অন্যান্য প্রশাসক বোকামি কিছু করেছিলেন did আমি কেবলমাত্র একটি দৃশ্যের কথা ভাবতে পারি যার অধীনে মেশিনগুলির মধ্যে একটি ব্যক্তিগত কী ভাগ করা উচিত এবং সেখানে যেখানে সার্ভারের একটি পুল একই নামে (রাউন্ড-রবিন ডিএনএস রেজোলিউশন ইত্যাদি) মাধ্যমে অ্যাক্সেস করা হয় এবং অবশ্যই একই এসএসএইচ হোস্ট কী উপস্থাপন করতে হবে স্বয়ংক্রিয় প্রক্রিয়াগুলি হ'ল তারা সেই নাম। এবং সেই ক্ষেত্রে, একই ব্যক্তি সমস্ত সার্ভারের প্রশাসক হবেন এবং বাইরের কোনও পক্ষকে জড়িত না করে স্থানান্তরগুলি পরিচালনা করবেন।
মন্টি হার্ড

21
@zwol আমার চাকরিতে, আমাদের একটি "দোষ নেই" দর্শন রয়েছে যা বোঝে যে আমরা ভুল করব, কিন্তু একই ভুলটি দু'বার না করাটিকে এটি একটি উচ্চ অগ্রাধিকার হিসাবে পরিণত করে। তবে দু'বার একই ভুল না করার জন্য আপনাকে অবশ্যই এটি একটি ভুল বুঝতে হবে, যার কারণেই আমি ওপি-র পরামর্শ দিয়েছি যে উত্তরগুলি অন্য প্রশাসককে কী ভুল করেছে সে সম্পর্কে কিছু না বলে কেবল জিনিসগুলি ঠিক করার পরামর্শ দেয়। আমি ফোন করতে ভুল কারণ আপনি রূপরেখা জন্য অবিকল অ্যাডমিন নাম কলিং বদলে 'আহাম্মক'। (তবে আমি নিশ্চিত নই যে আপনার সমাপ্তি প্যারেন্টিফিকাল অর্থবোধক পার্থক্যটি ব্যাখ্যা করে))
মন্টি হার্ডার

8
@ লাইটনেসেসেসিনব্রিট, আমার সন্দেহ হয় আপনার কাছে "কূটনীতি" এর অর্থ সম্পর্কে অসম্পূর্ণ ধারণা থাকতে পারে। আপনি কি ওয়েবস্টারের তৃতীয় নতুন আন্তর্জাতিক অভিধানের মতো কোনও ভাল অভিধানে এটি পরিষ্কার করার চেষ্টা করেছেন?
ওয়াইল্ডকার্ড

34

তিনি আমাকে যে কীটি পাঠিয়েছেন তা কি কেবল উপেক্ষা করা উচিত এবং তাদের আমার ফোল্ডারটির ভিতরে আমার সার্বজনিক কীটি রাখতে বলি?

হ্যাঁ, আপনার ঠিক সেইটাই করা উচিত। প্রাইভেট কীগুলির পুরো পয়েন্টটি হ'ল সেগুলি ব্যক্তিগত , অর্থাত্ আপনার ব্যক্তিগত কী রয়েছে। যেহেতু আপনি অ্যাডমিনের কাছ থেকে কীটি পেয়েছেন, তাই এটিও রয়েছে। সুতরাং তিনি যে কোনও সময় আপনাকে নকল করতে পারেন।

কোনও সুরক্ষিত চ্যানেলের মাধ্যমে কী আপনার কাছে প্রেরণ করা হয়েছিল কিনা তা অপ্রাসঙ্গিক নয়: এমনকি আপনি ব্যক্তিগত গোপনীয় কী ব্যক্তিগতভাবে পেয়েছেন তাও কিছু পরিবর্তন করবে না that আমি সংবেদনশীল ক্রিপ্টোগ্রাফি কীগুলি ই-মেইল করা কেকের চেরি এমন মন্তব্যের সাথে একমত হলেও: আপনার প্রশাসক এমনকি কোনও ধরণের সুরক্ষা নীতি থাকার ভান করে না।


6
এবং যেহেতু প্রশাসনের মেশিনটি কাহিনী থেকে নিরাপদ তা ওপি-র কোনও উপায় নেই (গল্পটি থেকে, সম্ভবত খুব নিরাপদ), তাই তাকে ধরে নেওয়া উচিত যে প্রাইভেট কীটি অন্য ব্যক্তির কাছেও ফাঁস হয়েছে (বা হবে)। ইমেলের মাধ্যমে একটি প্রাইভেট কী প্রেরণ করা ইনফোসেক অজ্ঞতার জন্য কেবল একটি বোনাস ফ্যাক্ট।
dr01

1
আপনি ধরে নিতে পারেন যে ব্যবহারকারীরা তৈরি করতে সক্ষম এমন প্রশাসক আপনার ছদ্মবেশ তৈরি করতে আপনার ব্যক্তিগত কী প্রয়োজন হবে না।
সর্বাধিক Ried

3
@ ম্যাক্সরয়েড যথাযথ সুরক্ষার লগগুলি যথাযথভাবে করা কঠিন হতে পারে। আপনার ব্যক্তিগত কী দিয়ে তাকে এমনকি লগগুলি উপহাস করার প্রয়োজন নেই। এটি আপনার পাসওয়ার্ড বনাম বনাম আপনার পাসওয়ার্ড জানার ক্ষমতা রাখার মতো।
দিমিত্রি গ্রিগরিয়েভ

@ দিমিত্রিগ্রিরিভ তিনি সর্বদা আপনার অনুমোদিত_কিজ ফাইলে আরও একটি কী যুক্ত করতে পারেন ...
ম্যাক্স রিড

4
@ ম্যাক্সআরেড আমি উল্লেখ করছি /var/log/secureবা অনুরূপ , আমি নিশ্চিত যে স্পেস ট্রিক এটিকে বোকা বানাবে না pretty
দিমিত্রি গ্রিগরিয়েভ

14

আমার কাছে দেখে মনে হচ্ছে অ্যাডমিন আপনার জন্য একটি ব্যক্তিগত / সর্বজনীন কী জুড়ি উত্পন্ন করেছে, অনুমোদিত_কিগুলিতে সর্বজনীন কী যুক্ত করেছে এবং আপনাকে ব্যক্তিগতটি প্রেরণ করবে। এইভাবে আপনাকে সার্ভারের সাথে আপনার ssh সেশনের জন্য এই ব্যক্তিগত কীটি ব্যবহার করতে হবে। নিজেকে কী-জুড়ি তৈরি করার দরকার নেই বা অ্যাডমিনকে আপনার সম্ভবত দূষিত (সর্বদা সবচেয়ে খারাপ পরিস্থিতি মনে করুন: পি) ব্যক্তিগত কীতে সর্বজনীন কী প্রেরণ করার দরকার নেই।

তবে আমি এনক্রিপ্ট না করা মেল মাধ্যমে আপনাকে প্রেরিত ব্যক্তিগত কীতে বিশ্বাস করব না।

আমার পদ্ধতিটি হ'ল: একবার লগ ইন করতে প্রাইভেট কীটি ব্যবহার করুন, সার্ভারের অনুমোদিত_কিগুলিতে আপনার নিজস্ব পাবলিক কী যুক্ত করুন (মূল পাবলিক কী প্রতিস্থাপন করে) এবং এই ইমেলটি-ব্যক্তিগত-কীটি ফেলে দিন। তারপরে আপনি প্রশাসককে ধন্যবাদ জানাতে পারেন, তিনি / তিনি আপনাকে এটি ব্যক্তিগত কী সরবরাহ করেছিলেন তবে আপনি এই জাতীয় তথ্য / কীগুলি ইমেলের মাধ্যমে (/ মোটেও) প্রেরণ না করতে পছন্দ করবেন।


3
@ টবি তাদের প্রাইভেট কী প্রেরণের জন্য কেবলমাত্র আমি কল্পনা করতে পারি তা হ'ল তারা যে সরঞ্জামগুলি ব্যবহার করছেন তা তারা বুঝতে পারে না। এবং -iকোন ব্যক্তিগত কী ব্যবহার করতে হবে তা চয়ন করতে আপনি কমান্ড লাইনে ব্যবহার করতে পারেন।
ক্যাস্পারড

18
@ ক্যাস্পার্ড যে কারণটি আমি কল্পনা করতে পারি সেগুলি একটি অত্যধিক ওয়ার্কড সিসাদমিন যিনি সিদ্ধান্ত নিয়েছেন যে ইমেলের মাধ্যমে একটি প্রাইভেট কী প্রেরণের ঝুঁকিগুলি কম-প্রযুক্তি-বুদ্ধিমান ব্যবহারকারীদের কীভাবে কীভাবে সঠিকভাবে তৈরি করা যায় এবং কীভাবে প্রেরণ করা যায় তা বোঝানোর চেষ্টা করার ঝামেলা ছাড়িয়ে গেছে পাবলিক কী ফিরে।
mattdm

1
দুর্দান্ত বিষয় আপনি নিজেরাই এটি ঠিক করতে পারেন। নতুন কী-পেয়ারের জন্য পাবলিক কী ইনস্টল করার জন্য প্রশাসকের অপেক্ষা করার চেয়ে এখনই এটি করা ভাল। আর-গোপনীয় গোপনীয় কী ব্যবহার করা এড়িয়ে যাওয়া কোনও কাজে আসে না; এটি প্রবেশের আগে এবং এটি থেকে সরিয়ে নেওয়ার আগে এটি কোনও সম্ভাব্য ইভিড্রোপার্সকে ব্যবহার করতে দীর্ঘতর সময় দেয় authorized_keys(যোগ করার পরে + নিজের পরীক্ষা করার পরে)।
পিটার কর্ডস

4
@ মেটডেম এটি ... সম্পূর্ণরূপে যৌক্তিক, তবুও ভয়ঙ্কর। যে ব্যক্তি কী কী তৈরি করতে পারে না এবং আমাকে সার্বজনীন কীটি প্রেরণ করতে পারে না আমি সম্ভবত তাকে প্রাইভেট কী দিয়ে আরও ভাল কিছু করতে যাচ্ছি না।
মন্টি হার্ড

1
@ মেটডেম, যথেষ্ট ন্যায্য তবে আমি যেহেতু তাকে এই সমস্ত কিছু করতে বলি আমি বিশ্বাস করতে অসুবিধা হয় যে তিনি ভাবলেন যে আমি কীভাবে এসএসএসের সাথে সংযোগ স্থাপন করব জানি না। তিনি যে পদক্ষেপ নিয়েছিলেন তা যদি আরও কিছু বিভ্রান্তিকর হয় কারণ আমি কেবল পাবলিক কী ব্যবহারের প্রাথমিক সাধারণ উপায় জানি। : x
টবি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.