Автор Тема: ssh вопрос теоретический  (Прочитано 1845 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн elimental

  • Новичок форума
  • Topic Author
  • Сообщений: 7
ssh вопрос теоретический
« : 14 Июнь 2016, 16:50:38 »
Всех приветствую !

Настроил для входа на сервер авторизацию по ssh ключу. Все работает хорошо. Но не понимаю один теоретический момент (много чего прочитал перед тем как писать).
На клиенте сгенерил ключи, открытый отправил на сервер.
Как я понимаю процес:
- подключаюсь к серверу
- сервер смотрит у соответствующего пользователя открытый ключ, шифрует им сообщение, отправляет мне
- я с помощью закрытого ключа это сообщение расшифровываю, отправляю ответ... все мы договорились, работаем

Чего я не понимаю - при установке openssh-server мы на сервере тоже генерим ключи. Вот эти ключи для чего ? Сервер при установке соединения мне тоже отправляет открытый ключ для того что бы я с его помощью шифровал сообщения для него ?

 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #1 : 14 Июнь 2016, 16:59:10 »
да, ты когда первый раз соединяешься с сервером по паролю, то он тебе пересылает открытый ключ и в дальнейшем, при следующем подключении по паролю, происходит сверка этих ключей и происходит дальнейшее шифрование... (это если кратко).
поэтому и рекомендуется эти ключи передавать физически или по 100% защищенному каналу... (это уже др. тема)

Cообщение объединено 14 Июнь 2016, 20:27:45
открытый ключ
точнее "отпечаток открытого ключа"
« Последнее редактирование: 15 Июнь 2016, 00:38:49 от Yrii »
 

Оффлайн elimental

  • Новичок форума
  • Topic Author
  • Сообщений: 7
Re: ssh вопрос теоретический
« Ответ #2 : 14 Июнь 2016, 21:10:23 »
Спасибо за внесенную ясность.
 

Оффлайн oermolaev

  • Местный житель
  • ***
  • Сообщений: 296
Re: ssh вопрос теоретический
« Ответ #3 : 14 Июнь 2016, 21:29:32 »
рекомендуется эти ключи передавать физически или по 100% защищенному каналу.
Yrii, ssh-copy-id - необходимо и достаточно? Или всё же как то "физически" ?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #4 : 14 Июнь 2016, 21:41:59 »
ssh-copy-id просто копирует публичных ключей на удалённый ПК.
теперь логически подумаем. чтобы скопировать ключ, нужно пройти аутентификацию, а чтоб это сделать...
логика понятна?

в теории, не что не мешает мне, во время твоей первой аутентификации, провести атаку по середине
поэтому при первом доступе нужно быть 100% уверенным в безопасности канала.
« Последнее редактирование: 15 Июнь 2016, 00:39:19 от Yrii »
 

Оффлайн oermolaev

  • Местный житель
  • ***
  • Сообщений: 296
Re: ssh вопрос теоретический
« Ответ #5 : 14 Июнь 2016, 21:45:11 »
ssh-copy-id просто копирует публичных ключей на удалённый ПК.
я полагал что ssh-copy-id не просто копирует, а копирует по 100% защищенному каналу. То есть это не так?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #6 : 14 Июнь 2016, 21:49:29 »
а откуда взяться защищенному каналу при первом соединении?
Цитировать
ssh-copy-id is a script that uses ssh(1) to log into a remote machine (presumably using a login password, so password authen‐
     tication should be enabled
, unless you've done some clever use of multiple identities).  It assembles a list of one or more
     fingerprints (as described below) and tries to log in with each key, to see if any of them are already installed (of course,
     if you are not using ssh-agent(1) this may result in you being repeatedly prompted for pass-phrases).  It then assembles a
     list of those that failed to log in, and using ssh, enables logins with those keys on the remote server.  By default it adds
     the keys by appending them to the remote user's ~/.ssh/authorized_keys (creating the file, and directory, if necessary).  It
     is also capable of detecting if the remote system is a NetScreen, and using its ‘set ssh pka-dsa key ...’ command instead.
 

Оффлайн oermolaev

  • Местный житель
  • ***
  • Сообщений: 296
Re: ssh вопрос теоретический
« Ответ #7 : 14 Июнь 2016, 21:51:33 »
вот отсюда:
is a script that uses ssh(1)
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #8 : 14 Июнь 2016, 21:51:57 »
логика такая. вот допустим ты поднял сервак в локалке - зашел туда по паролю - подумал, что использовать пароль тебе лень - локалка у тебя не скомпрометирована (допустим) - следовательно опасаться нечего -   воспользовался удобным скриптом ssh-copy-id
 

Оффлайн oermolaev

  • Местный житель
  • ***
  • Сообщений: 296
Re: ssh вопрос теоретический
« Ответ #9 : 14 Июнь 2016, 21:56:29 »
Цитировать
is a script that uses ssh
где ssh - это Secure Shell, то есть тот самый 100% защищенный канал?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #10 : 14 Июнь 2016, 21:57:07 »
вот отсюда:
is a script that uses ssh(1)

ну, логично.

вот тебе пример с моего тестового сервака:
$ ssh-copy-id 172.16.0.111
The authenticity of host '172.16.0.111 (172.16.0.111)' can't be established.
ECDSA key fingerprint is e8:4c:e2:c0:86:05:91:82:e1:fc:87:1e:50:a6:e7:b0.
Are you sure you want to continue connecting (yes/no)?
т.е. происходит, то с чего мы начали
 

Оффлайн oermolaev

  • Местный житель
  • ***
  • Сообщений: 296
Re: ssh вопрос теоретический
« Ответ #11 : 14 Июнь 2016, 22:02:13 »
хорошо, какой вариант передачи открытого(!) ключа более правильный?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #12 : 14 Июнь 2016, 22:07:24 »
ну так все зависит от ситуации/важности данных/и т.д.
на уровне предприятий - (если коротко) физически (например через флешку), по уже поднятым и защищенным каналам связи
на уровне локалхоста - можно забить нафиг :D
 

Оффлайн oermolaev

  • Местный житель
  • ***
  • Сообщений: 296
Re: ssh вопрос теоретический
« Ответ #13 : 14 Июнь 2016, 22:14:12 »
Спасибо.
На счёт "забить" - легко. Но мы же про теорию.
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #14 : 14 Июнь 2016, 22:29:41 »
вот. к сведенью - https://habrahabr.ru/post/176693/ + комменты
поэтому, при высокой важности соединения, лучше перестраховаться.
 

Теги:
 

Вопрос о создании резервных копий почты, samba и о создании образа.

Автор killserv

Ответов: 1
Просмотров: 1503
Последний ответ 26 Январь 2012, 12:01:45
от redVi
Вопрос по драйверам.

Автор izamoo

Ответов: 6
Просмотров: 1605
Последний ответ 22 Октябрь 2012, 22:34:04
от ferum
Вопрос по подключению Raid5

Автор alex13

Ответов: 0
Просмотров: 1300
Последний ответ 24 Октябрь 2013, 13:10:14
от alex13
Вопрос перед установкой.

Автор orionit

Ответов: 1
Просмотров: 1087
Последний ответ 10 Сентябрь 2015, 04:05:25
от ogost
Вопрос про репозитории для arm

Автор debianpc

Ответов: 20
Просмотров: 3457
Последний ответ 17 Май 2018, 23:48:47
от debianpc