কারও এসএসএইচ কীতে খালি পাসফ্রেজ রয়েছে কিনা তা আমি কীভাবে নির্ধারণ করতে পারি?

44

আমার কিছু লিনাক্স এবং ফ্রিবিএসডি সিস্টেমের কয়েক ডজন ব্যবহারকারী রয়েছে। কর্মীরা এসএসএইচকে অন্যান্য অভ্যন্তরীণ সার্ভারগুলিতে এই "এসএসএস গেটওয়ে" নোডগুলি ব্যবহার করবে।

আমরা উদ্বিগ্ন করছি এই ব্যক্তিদের কয়েকজনকে একটি এনক্রিপ্ট না ব্যক্তিগত SSH- কি (ক ছাড়া একটি কী ব্যবহার করে পাসফ্রেজ । এই খারাপ , কারণ একটি ক্র্যাকার কি কখনো এই মেশিনে তাদের অ্যাকাউন্টে অ্যাক্সেস পেয়েছে, তারা ব্যক্তিগত কী চুরি এখন অ্যাক্সেস থাকতে পারে যে কোনও মেশিনে এই একই কী ব্যবহার করে। সুরক্ষার কারণে, আমাদের সকল ব্যবহারকারীকে তাদের ব্যক্তিগত এসএসএইচ কী একটি পাসফ্রেজ দিয়ে এনক্রিপ্ট করতে হবে।

একটি ব্যক্তিগত কী-এনক্রিপ্ট করা না থাকলে কীভাবে বলতে পারি (যেমন একটি পাসফ্রেজ ধারণ করে না)? কোনও এসকিআইআই-সাঁজোয়া কী বনাম একটি নন-এএসসিআইআই-সাঁজোয়া কীতে এটি করার জন্য আলাদা পদ্ধতি আছে?

হালনাগাদ:

স্পষ্ট করার জন্য, ধরে নিই মেশিনে আমার কাছে অতিরিক্ত এক্সেস রয়েছে এবং আমি প্রত্যেকের ব্যক্তিগত কীগুলি পড়তে পারি।

security ssh users

— স্টিফান লাসিউস্কি
সূত্র

2

গ্র্যাম্বল এসএস-এজেন্ট গ্র্যাম্বল গেটওয়েতে কোনও ব্যক্তিগত কী থাকা উচিত নয়।

— ডারোবার্ট

কয়েকটি প্যাড্যান্টিক নোট: - ব্যবহারকারীদের প্রায়শই দুর্বল পাসফ্রেজ থাকে । - ব্যবহারকারীরা পাসফ্রেজ পরিবর্তন করতে পারেন। - ব্যবহারকারী একাধিক জায়গায় তাদের কীগুলি সংরক্ষণ করতে পারেন। - ব্যবহারকারীরা সম্ভবত ssh এজেন্ট ব্যবহার করবেন যাতে তারা কীটি একবার আনলক করতে পারে, তাদের ল্যাপটপে বলুন।

— বেন হাইড

59

ভাল, খালি পাসফ্রেসযুক্ত ওপেনএসএইচ ব্যক্তিগত কীগুলি আসলে এনক্রিপ্ট করা হয় না।

এনক্রিপ্ট করা ব্যক্তিগত কীগুলি ব্যক্তিগত কী ফাইলে যেমন ঘোষিত হয়। এই ক্ষেত্রে:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7BD2F97F977F71FC

BT8CqbQa7nUrtrmMfK2okQLtspAsZJu0ql5LFMnLdTvTj5Sgow7rlGmee5wVuqCI
/clilpIuXtVDH4picQlMcR+pV5Qjkx7BztMscx4RCmcvuWhGeANYgPnav97Tn/zp
...
-----END RSA PRIVATE KEY-----

তাই কিছু

# grep -L ENCRYPTED /home/*/.ssh/id_[rd]sa

কৌতুক করা উচিত।

— codehead
সূত্র

3

@ jmanning2k: আমি সবেমাত্র একটি পাসফ্রেজবিহীন একটি আরএসএ প্রাইভেট কী তৈরি করেছি এবং এতে 'এনক্রিপশন: কিছুই নয়' স্ট্রিংটি নেই।

— স্টিফান লাসিউইস্কি

@ jmanning2k: -Lপতাকাটি কেবলমাত্র ফাইলের নাম তালিকাভুক্ত করে যা প্যাটার্নের সাথে মেলে না। সুতরাং এই উত্তরটি নিজেরাই সঠিক।

— বাহামা

আমি সংশোধন করে দাঁড়িয়েছি, স্পষ্টতার জন্য মন্তব্য সরানো হয়েছে। রেকর্ডের জন্য, আমার কাছে কয়েকটি পুট্টি প্রাইভেট কী ফাইল অনুলিপি করেছে, যা 'এনক্রিপশন: কিছুই নয়' পড়বে।

— jmanning2k

2

বা স্ট্রিং ওপেনএসএইচ: দেখুন tedunangst.com/flak/post/…

— জ্যাক ওয়াসি

10

আমি এটির জন্য সমস্ত দিকে তাকিয়েছিলাম এবং কোনও সন্তোষজনক উত্তর পাই না, তবে আমি একটি নির্মাণ করতে পেরেছি, তাই ...

মনে রাখবেন যে এটি যদি কাজ করে তবে ফাইলটি আপডেট হবে, সুতরাং আপনি যদি ব্যবহারকারীদের কীগুলির পরীক্ষা করছেন তাদের নজরে না নেওয়ার চেষ্টা করছেন, আপনি প্রথমে কীটি অনুলিপি করতে চাইতে পারেন। ওতো, যেহেতু আপনি কেবলমাত্র আপনার ব্যবহারকারীকে একটি পাসওয়ার্ডবিহীন কী দিয়ে ধরেছেন, সম্ভবত তারা সেদিকে খেয়াল রাখে না care : ডি

$ ssh-keygen -p -P '' -N '' -f ~/.ssh/KEYTEST
Key has comment '/home/rlpowell/.ssh/KEYTEST'
Your identification has been saved with the new passphrase.
$ echo $?
0

$ ssh-keygen -p -P '' -N '' -f ~/.ssh/KEYTEST
Bad passphrase.
$ echo $?
1

— rlpowell
সূত্র

3

-N ''পরিবর্তে কেন এমন নয় যাতে পাসফ্রেজ সবসময় অপরিবর্তিত থাকে?

— আপনার মোডগুলি 21

ফেসপালম এটি নিখুঁত, আপনাকে অনেক ধন্যবাদ।

— rlpowell

+1 কারণ এই সমাধানটি এসএসএইচের নতুন ব্যক্তিগত কী ফর্ম্যাটের সাথেও কাজ করে।

— সেবাস্তিয়ান ক্রাইসম্যানস্কি

8

আপনার যদি ব্যক্তিগত কীতে অ্যাক্সেস থাকে তবে আমি মনে করি, আপনি পাবলিক কীটির বিরুদ্ধে প্রমাণীকরণের জন্য পাসফ্রেজ ছাড়াই এটি ব্যবহার করতে পারেন। যদি এটি কাজ করে তবে আপনি জানেন যে এটির কোনও পাসফ্রেজ নেই। যদি এটি থাকে তবে এটি আপনাকে একটি ত্রুটি বার্তা দেবে।

আপনার যদি ব্যক্তিগত কীতে অ্যাক্সেস না থাকে তবে আমার সন্দেহ হয় আপনি এটি সনাক্ত করতে পারেন। পাসফ্রেজের উদ্দেশ্যটি হল ব্যক্তিগত কীটি "আনলক করা", এটি পাবলিক কী সম্পর্কিত কোনও কার্যকারিতা রাখে না।

আসলে, এটি যদি হয় তবে এটি সিস্টেমকে কম সুরক্ষিত করে তুলবে। কেউ পাবলিক কী ব্যবহার করতে পারে, এটি ব্রুট ফোর্স বা পাসফ্রেজটি ফাটানোর চেষ্টা করার জন্য অন্যান্য আক্রমণ চালানোর চেষ্টা করার জন্য উপলব্ধ।

— txwikinger
সূত্র