Автор Тема: ssh вопрос теоретический  (Прочитано 2245 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн elimental

ssh вопрос теоретический
« : 14 Июня 2016, 16:50:38 »
Всех приветствую !

Настроил для входа на сервер авторизацию по ssh ключу. Все работает хорошо. Но не понимаю один теоретический момент (много чего прочитал перед тем как писать).
На клиенте сгенерил ключи, открытый отправил на сервер.
Как я понимаю процес:
- подключаюсь к серверу
- сервер смотрит у соответствующего пользователя открытый ключ, шифрует им сообщение, отправляет мне
- я с помощью закрытого ключа это сообщение расшифровываю, отправляю ответ... все мы договорились, работаем

Чего я не понимаю - при установке openssh-server мы на сервере тоже генерим ключи. Вот эти ключи для чего ? Сервер при установке соединения мне тоже отправляет открытый ключ для того что бы я с его помощью шифровал сообщения для него ?

 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #1 : 14 Июня 2016, 16:59:10 »
да, ты когда первый раз соединяешься с сервером по паролю, то он тебе пересылает открытый ключ и в дальнейшем, при следующем подключении по паролю, происходит сверка этих ключей и происходит дальнейшее шифрование... (это если кратко).
поэтому и рекомендуется эти ключи передавать физически или по 100% защищенному каналу... (это уже др. тема)

Cообщение объединено 14 Июня 2016, 20:27:45
открытый ключ
точнее "отпечаток открытого ключа"
« Последнее редактирование: 15 Июня 2016, 00:38:49 от Yrii »
 

Оффлайн elimental

Re: ssh вопрос теоретический
« Ответ #2 : 14 Июня 2016, 21:10:23 »
Спасибо за внесенную ясность.
 

Оффлайн oermolaev

Re: ssh вопрос теоретический
« Ответ #3 : 14 Июня 2016, 21:29:32 »
рекомендуется эти ключи передавать физически или по 100% защищенному каналу.
Yrii, ssh-copy-id - необходимо и достаточно? Или всё же как то "физически" ?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #4 : 14 Июня 2016, 21:41:59 »
ssh-copy-id просто копирует публичных ключей на удалённый ПК.
теперь логически подумаем. чтобы скопировать ключ, нужно пройти аутентификацию, а чтоб это сделать...
логика понятна?

в теории, не что не мешает мне, во время твоей первой аутентификации, провести атаку по середине
поэтому при первом доступе нужно быть 100% уверенным в безопасности канала.
« Последнее редактирование: 15 Июня 2016, 00:39:19 от Yrii »
 

Оффлайн oermolaev

Re: ssh вопрос теоретический
« Ответ #5 : 14 Июня 2016, 21:45:11 »
ssh-copy-id просто копирует публичных ключей на удалённый ПК.
я полагал что ssh-copy-id не просто копирует, а копирует по 100% защищенному каналу. То есть это не так?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #6 : 14 Июня 2016, 21:49:29 »
а откуда взяться защищенному каналу при первом соединении?
Цитировать
ssh-copy-id is a script that uses ssh(1) to log into a remote machine (presumably using a login password, so password authen‐
     tication should be enabled
, unless you've done some clever use of multiple identities).  It assembles a list of one or more
     fingerprints (as described below) and tries to log in with each key, to see if any of them are already installed (of course,
     if you are not using ssh-agent(1) this may result in you being repeatedly prompted for pass-phrases).  It then assembles a
     list of those that failed to log in, and using ssh, enables logins with those keys on the remote server.  By default it adds
     the keys by appending them to the remote user's ~/.ssh/authorized_keys (creating the file, and directory, if necessary).  It
     is also capable of detecting if the remote system is a NetScreen, and using its ‘set ssh pka-dsa key ...’ command instead.
 

Оффлайн oermolaev

Re: ssh вопрос теоретический
« Ответ #7 : 14 Июня 2016, 21:51:33 »
вот отсюда:
is a script that uses ssh(1)
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #8 : 14 Июня 2016, 21:51:57 »
логика такая. вот допустим ты поднял сервак в локалке - зашел туда по паролю - подумал, что использовать пароль тебе лень - локалка у тебя не скомпрометирована (допустим) - следовательно опасаться нечего -   воспользовался удобным скриптом ssh-copy-id
 

Оффлайн oermolaev

Re: ssh вопрос теоретический
« Ответ #9 : 14 Июня 2016, 21:56:29 »
Цитировать
is a script that uses ssh
где ssh - это Secure Shell, то есть тот самый 100% защищенный канал?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #10 : 14 Июня 2016, 21:57:07 »
вот отсюда:
is a script that uses ssh(1)

ну, логично.

вот тебе пример с моего тестового сервака:
$ ssh-copy-id 172.16.0.111
The authenticity of host '172.16.0.111 (172.16.0.111)' can't be established.
ECDSA key fingerprint is e8:4c:e2:c0:86:05:91:82:e1:fc:87:1e:50:a6:e7:b0.
Are you sure you want to continue connecting (yes/no)?
т.е. происходит, то с чего мы начали
 

Оффлайн oermolaev

Re: ssh вопрос теоретический
« Ответ #11 : 14 Июня 2016, 22:02:13 »
хорошо, какой вариант передачи открытого(!) ключа более правильный?
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #12 : 14 Июня 2016, 22:07:24 »
ну так все зависит от ситуации/важности данных/и т.д.
на уровне предприятий - (если коротко) физически (например через флешку), по уже поднятым и защищенным каналам связи
на уровне локалхоста - можно забить нафиг :D
 

Оффлайн oermolaev

Re: ssh вопрос теоретический
« Ответ #13 : 14 Июня 2016, 22:14:12 »
Спасибо.
На счёт "забить" - легко. Но мы же про теорию.
 

Yrii

  • Гость
Re: ssh вопрос теоретический
« Ответ #14 : 14 Июня 2016, 22:29:41 »
вот. к сведенью - https://habrahabr.ru/post/176693/ + комменты
поэтому, при высокой важности соединения, лучше перестраховаться.
 

Теги:
     

    Вопрос по команде mount

    Автор Листик

    Ответов: 4
    Просмотров: 694
    Последний ответ 23 Мая 2019, 12:19:00
    от gardarea51
    Перенесено: На этом форуме ответили по-существу хотя бы на один Ваш вопрос?

    Автор qupl

    Ответов: 0
    Просмотров: 316
    Последний ответ 30 Июня 2021, 20:21:13
    от qupl
    Энергосбережение, вопрос по данным powertop

    Автор fake

    Ответов: 4
    Просмотров: 2052
    Последний ответ 07 Сентября 2012, 07:16:37
    от Alexey_F
    [Решено] Вопрос по двум ссылкам на CD Debian

    Автор Alexsto

    Ответов: 1
    Просмотров: 1503
    Последний ответ 06 Октября 2013, 20:00:23
    от ferum
    Вопрос про bind

    Автор kolshik1

    Ответов: 0
    Просмотров: 1008
    Последний ответ 20 Августа 2015, 09:54:38
    от kolshik1