SSH, когда использовать открытый ключ и пароль?

В большинстве современных систем Linux, в значительной степени все под /dev помещается там udev.

На моей машине Debian, /dev/disk/by-label прибывает из нескольких файлов под /lib/udev/rules.d Например, вот правило от 60-persistent-storage.rules:

ENV{ID_FS_LABEL_ENC}=="?*",     ENV{ID_FS_USAGE}=="filesystem|other", \
        SYMLINK+="disk/by-label/$env{ID_FS_LABEL_ENC}"

Несколько строк ранее то, где ID_FS_LABEL_ENC прибывает из:

# probe filesystem metadata of disks
KERNEL!="sr*", IMPORT{program}="/sbin/blkid -o udev -p $tempnode"

Можно работать blkid самостоятельно видеть данные его передача udev:

root@Zia:~# /sbin/blkid -o udev -p /dev/sda2
ID_FS_SEC_TYPE=msdos
ID_FS_LABEL=xfer1
ID_FS_LABEL_ENC=xfer1
ID_FS_UUID=B140-C934
ID_FS_UUID_ENC=B140-C934
ID_FS_VERSION=FAT16
ID_FS_TYPE=vfat
ID_FS_USAGE=filesystem
ID_PART_ENTRY_SCHEME=dos
ID_PART_ENTRY_TYPE=0xc
ID_PART_ENTRY_NUMBER=2
ID_PART_ENTRY_OFFSET=257040
ID_PART_ENTRY_SIZE=257040
ID_PART_ENTRY_DISK=8:0

И действительно:

root@Zia:~# ls -l /dev/disk/by-label/xfer1 
lrwxrwxrwx 1 root root 10 Nov 19 10:02 /dev/disk/by-label/xfer1 -> ../../sda2

Можно вставить дополнительные файлы правил /etc/udev/rules.d/ если требуется сделать дополнительные названия устройств, изменить полномочия, и т.д. Например, здесь у нас есть тот, который заполняет и устанавливает полномочия на a /dev/disk/for-asm.

3
03.12.2013, 00:39
2 ответа

Но как я решаю, какой использовать и какой является самым безопасным в какой ситуация?

Открытый ключ, вероятно, всегда более безопасен, чем пароль, пока соответствующий закрытый ключ имеет пароль. Таким образом, даже если кто-то получает закрытый ключ, это все еще не применимо, если у них также нет пароля, тогда как с паролем, это - все, что это необходимо.

Однако скот, вызывающий пароль для украденного ключа, вероятно, легче, чем скот, вызывающий пароль для входа в систему ssh, так как позже будет медленнее и очевидным - сервер отметит повторные отказы и может ограничить и сообщить о IP взломщика. 10 символьных паролей с помощью символов Base64 имеют 64^10 = 1152921504606846976 возможностей, таким образом, может быть выполнимо для умного человека взломать это, если они могут попробовать его своим собственным оборудованием на копии ключа.

Конечно, Вы не можете вынудить пользователей к паролю, защищают их закрытые ключи (если Вы не выпускаете их). Но Вы не можете вынудить людей обычно быть осторожными с паролями, таким образом, один только пароль действительно не решает "безответственного пользователя" проблема.

Кто-либо может дать мне некоторый реальный пример о том, когда выбрать открытый ключ и когда выбрать пароль?

Некоторые люди находят ключи стычкой, потому что необходимо сохранить их. Используя пароль вход в систему является своей собственной стычкой, тем не менее, если Вы часто входите в систему и, так как необходимо перепечатать пароль каждый раз.

5
27.01.2020, 21:13
  • 1
    выравнивать-права, Всегда думал, что Вы могли удалить защиту паролем из закрытых ключей даже если выпущенный третьим лицом с паролем. Не может отобразить, как препятствовать тому один делать так. –  Zelda 02.12.2013, 16:14
  • 2
    @Zelda: Удаление пароля потребовало бы пароля, так как ключ шифруется с тем паролем. Без него Вы не можете дешифровать ключ..., но я думаю, что Вы имеете в виду в случае издания ключей к пользователям? Положительная сторона. Я не увлечен идеей так или иначе. –  goldilocks 02.12.2013, 16:27
  • 3
    Существует некоторый дополнительный факт: Если Ваш ключ украден, то генерируйте новую пару ключей как можно скорее и удостоверьтесь, что другой ключ wil недопустим. –  Bonsi Scott 02.12.2013, 16:41
  • 4
    @BonsiScott, Как это отличается от того, если кто-то выясняет Ваш пароль? Необходимо знать или в случае, или это становится спорным вопросом. Конечно, хорошая гигиена безопасности должна была бы изменить учетные данные аутентификации на регулярной основе так или иначе, но это идет для паролей, а также ключей. –  a CVn 02.12.2013, 17:14
  • 5
    Кто-то, кто крадет Ваш ключ (или Ваш пароль) вряд ли скажет Вам об этом так или иначе, lol. –  goldilocks 02.12.2013, 17:16

То, чтобы использовать, довольно просто.

Основанная на ключе аутентификация обычно лучше, как лютик золотистый указал. Но это эффективно связывает пользователя на машине 1 определенному пользователю на машине 2. Поэтому это может быть гигантская боль в задней стороне при необходимости в неизвестном числе пользователей или неизвестном количестве машин для входа в систему.

Хорошим примером того, когда использовать пароли, был бы сервер, в котором это в жестком реальном времени, чтобы смочь получить доступ, неважно, где Вы или какой устройство Ваше использование. Таким образом, при необходимости в доступе к тому серверу, можно получить его, через сотовый телефон, минидуховку, друзья компьютер, общедоступный компьютер или другое место, что Вы не хотите постоянно, "предоставляют доступ" к.

Тем не менее тот сервер, очевидно, был бы слабым местом безопасности. Большинство людей и обстоятельств должны использовать ключи. Пароли действительно имеют свое использование все же.

2
27.01.2020, 21:13
  • 1
    Ваша предпосылка о ключах обязательный "пользователь на машине 1 определенному пользователю на машине 2" способом, что пароли не делают, является неправильной. Необходимо войти в систему как определенный пользователь, является ли это через ключ, или пароль не имеет никакого значения. WRT наличие "неизвестного количества машин для входа в систему" в можно использовать другой ключ для каждого из них, если Вы хотите (см. man ssh, -i опция), и Ваш удаленный пользователь может допускать больше чем один ключ - который на самом деле делает ключевой вход в систему более гибким, чем вход в систему пароля, так как нормальный *отклоняют системы, только допускают один пароль на пользователя. –  goldilocks 03.12.2013, 00:55
  • 2
    , я не соглашаюсь, но возможно я не был ясен. Ключом является МАШИНА + пользователь к МАШИНЕ + пользовательская комбинация. Пароль является просто пользователем к Машине + Пользовательская комбинация. Так 900 000 различных машин к одной машине + пользователь, пароли являются способом пойти. Большинство из нас действительно не делает этого, мы подключаем 1 машину + пользователь (coteyr@localhost) к 1 машине + пользователь (someone@someserver). Если я хотел создать систему, которая говорит, какой клиент I (coteyr) хотят подключить к someone@someserver затем, моя единственная реальная опция является паролями. –  coteyr 03.12.2013, 06:04

Теги

Похожие вопросы