Безопасно ли иметь ту же парольную фразу ssh, что и пароль для входа в систему?
Вы можете сделать что-то вроде:
cd total_patient_samples
find ../ -name patient_sample_\* | while read -r i; do
pnum="${i##*_}"
mkdir -p "patient$pnum"
mv -v "$i" "patient$pnum"
done
Это сильно зависит от точных имен файлов, так что будьте осторожны.
РЕДАКТИРОВАТЬ: Обновлен код в соответствии с комментарием ниже. Это приведет к захвату любого файла в основном каталоге, который соответствует пациенту_пример _ * , поэтому убедитесь, что нет ни одного файла, который вы не хотите перемещать.
Вообще говоря, повторное использование паролей — плохая идея, если только вы не используете один и тот же пароль в одной и той же области, т. е. между машинами или службами, администрируемыми одной и той же группой, и когда люди, имеющие доступ к одной из машин или службы вообще имеют доступ ко всем из них.
Пароль вашей учетной записи на машине А используется на машине А и управляет доступом к машине А. Пароль вашего закрытого ключа SSH на машине А используется на машине А и управляет доступом к другим машинам. Если вы используете один и тот же пароль на обоих и происходит его утечка, это ставит под угрозу как компьютер A, так и другие компьютеры. Поэтому совместное использование пароля плохо для безопасности.
Пароль вашей учетной записи на компьютере A используется на компьютере A и управляет доступом к компьютеру A. Пароль вашего закрытого ключа SSH на компьютере B используется на компьютере B и контролирует доступ к компьютеру A. Если вы используете тот же пароль на обоих, то он может быть украден либо из A, либо из B. Поэтому совместное использование пароля плохо для безопасности.
Пароль также может просочиться через резервные копии. Например, если резервная копия вашего домашнего каталога скомпрометирована (или вы случайно загрузили свой файл закрытого ключа на Github — вы не будете первым¹ ), злоумышленник получит доступ к файлу ключа. Формат файла закрытого ключа OpenSSH уязвим для атак методом перебора пароля . Начиная с OpenSSH 6.5, существует новый формат (, выбранный с помощью ssh-keygen -o, который правильно использует медленный хэш , но он не используется по умолчанию, начиная с OpenSSH 7.7. Поэтому, если злоумышленник получит доступ к вашему ключевому файлу, существует серьезный риск того, что он получит пароль, который позволит ему использовать ключ и войти в систему без ключа. Даже при медленном хэшировании, если ваш пароль слишком слабый, злоумышленник, у которого есть файл ключа, может взломать его в автономном режиме (, т.е. он ограничен только тем, сколько электроэнергии он готов потратить ).
По этим причинамвы не должны использовать один и тот же пароль для ключа SSH и для учетной записи пользователя. Если вы хотите защитить ключевой файл, но не хотите запоминать отдельный пароль, лучше использовать незапоминающийся -пароль и сохранить его в связке ключей(в Gnome. keyring использует медленный хэш ).²
¹ Я думаю, Github теперь защищает от прямой загрузки файла ключа.
² И не забывайте не допускать утечки резервных копий вашей связки ключей, но на практике это меньше проблем, чем с SSH, потому что люди склонны создавать резервные копии своего каталога .ssh, который содержит файлы конфигурации, такие как configи authorized_keys..
В общем, повторное использование паролей — плохая и небезопасная идея.
Вам необходимо оценить риски и простоту использования одного и того же пароля с учетом того, для чего используется ваш SSH-ключ. Шифруете ли вы конфиденциальную информацию с его помощью? Доступ к удаленным тестовым серверам? Производственные серверы? Это то, что только вы можете оценить.
Наличие отдельных паролей означает внедрение глубокоэшелонированной защиты:Если кто-то узнает ваш пароль и получит доступ к вашему компьютеру, он все равно не сможет использовать ваш SSH-ключ.
Общеизвестно, что всегда следует использовать разные пароли для разных целей. Однако в этом случае я бы сказал, что риск невелик, по крайней мере, если на вашей рабочей станции отключен вход по ssh с помощью пароля, так что удаленный злоумышленник не может получить никакой выгоды от знания вашего пароля.
Если у вас уже есть локальный злоумышленник (, знающий ваш пароль ), он может легко настроить вещи, чтобы шпионить за вами, чтобы получить вашу кодовую фразу всякий раз, когда вы вводите ее снова. У многих пользователей так или иначе запущен ssh-agent, так что злоумышленник может использовать его вообще без необходимости вводить пароль. Таким образом, разные пароли здесь не очень помогут, но, возможно, все же могут защитить вас от «известных не -экспертов» злоумышленников, таких как ваши дети, свекровь и т. д.;)
Более интересным случаем может быть случай, когда удаленный злоумышленник (вирус )сумел выполнить код в вашей учетной записи пользователя, не зная пароля. Кажется, ему проще подсмотреть ваш ключ -парольную фразу. Но будет ли ему важно получить системный пароль, если у него уже есть доступ? Возможно, использовать sudo, когда он настроен как в Ubuntu по умолчанию.
В другом случае злоумышленник имеет доступ только к файлам /etc/shadowи/или зашифрованным ssh -ключам (, например. взломать резервный сервер ). Теоретически возможно, что либо ключи, либо теневые файлы менее защищены от атак грубой -силы для подбора паролей. Это было бы преимуществом для атакующего, но я думаю, что это преимущество невелико.
Ответ на этот вопрос действительно зависит от вашей вычислительной среды. Вы задаете этот вопрос как обычный (домашний )пользователь или как корпоративный пользователь (рабочий ). Если вы спрашиваете от имени последнего, то я бы сначала порекомендовал вам проконсультироваться с вашим системным администратором и/или вашей корпоративной внутренней политикой безопасности. В целом, я бы сказал (с точки зрения практикующего ИА... ответ всегда отрицательный. Я бы порекомендовал использовать менеджер паролей и зашифровать главный список с помощью такого приложения, как veracrypt.