Как сравнить использование памяти двумя процессами?

Вы можете сделать это так же, как Hetzner Online (немецкий интернет-провайдер )делает это, по крайней мере, со своими Linux VPS при настройке аутентификации с открытым ключом (, которую они предлагают в качестве выбора во время инициализации, в качестве альтернативы к установке пароля для учетной записи root).

Попросите пользователя предоставить открытый ключ , прежде чем вы разрешите ему доступ к своей учетной записи. Никогда не устанавливайте пароль для учетной записи пользователя самостоятельно, и если хотите,Держите все, кроме PubkeyAuthentication, выключенным все время в вашем sshd. Вставьте ключ, предоставленный пользователем, в собственные ключи пользователя ~/.ssh/authorized _, как только вы создадите его учетную запись или сразу после ее получения, но до того, как ему будет разрешен доступ. Предполагая OpenSSH, вы даже можете настроить свой SSH-сервер для принятия аутентификации по паролю только с локального хоста (, используя раздел Matchв конфигурации /etc/ssh/sshd _), что должно позволить вам использовать ssh-copy-idрабочий процесс локально, гарантируя, что такие вещи, как разрешения и права собственности, установлены правильно.

Таким образом, пользователь всегда сохраняет полный контроль над своим закрытым ключом, и никакие данные, которые в любом случае не будут переданы, не передаются. Вы также не обучаете их принимать кого-то другого, генерирующего закрытый ключ. Amazon может сделать это правильно --Лично у меня есть сомнения, и я бы определенно хотел немедленно заменить пару ключей --, но каковы шансы, что вы сможете вложить столько же в получение этого процесс прямо как у них?

В идеале вы должны запросить открытый ключ для передачи по зашифрованному каналу, но это не столько для конфиденциальности, сколько для подлинности . Пользователь хочет быть уверенным, что общается с сущностью, с которой, по его мнению, общается, а вы хотите быть хотя бы разумно уверены, что никто не действует как активный посредник и не изменяет сообщения и не заменяет открытый ключ на их. Но даже отправка открытого ключа обычной, незащищенной -электронной почтой не так уж плоха. В конце концов, открытый ключ должен быть открытым.

Если вы создаете новые учетные записи редко и для людей, с которыми у вас сложились отношения, вы даже можете позвонить пользователю по телефону и попросить его прочитать отпечаток своего ключа SSH и сверить его с тем, что вы получили. Дайте им отпечаток пальца для ключа хоста (s )одновременно.Таким образом, они тоже могут быть уверены, что подключаются к правильному хосту даже в первый раз. (Hetzner включает отпечатки ключей хоста в электронное письмо -«ваш VPS готов».)