Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
30.3.2007 16:28
Temistokles
|
Dobrý deň,
snažil som sa všemožne, ale konkrétne informácie k môjmu problému som nezohnal. Potreboval by som zabezpečiť, aby sa na server mohol prihlásiť len mnou povolený úžívateľ (teraz sa mi nejedná o Web prístup, ale o prístup cez PuTTy a SCP). Bolo by nejako možné jednoznačne podvrdiť užívateľovi právo na prístup ešte niečím iným ako heslom? Počul som, ale veľmi nekonkrétne, že by sa to dalo pomocou certifikátov. Teda, že by som vpustil dnu len užívateľa, ktorý má platný certifikát a vie heslo. Jednalo by sa o prístup asi pre 5 ľudí. Je toto možné? Alebo exituje nejaké lepšie riešenie? Ak o niečom viete, prosím, skúste to aj podrobnejšie opísať, ako by som na to mal ísť.
Ďakujem za Váš čas.
Temistokles |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
30.3.2007 20:03
Aleš Hakl
|
Bydliště: Praha |
Pokud jste nekde slysel, ze je vhodne pouzivat jakesi certifikaty, tak jste slzsel spatne, certifikat by mel neco certifikovat, soubor, jehoz obsahem je soukromy klic a jakysi textovy komentar opravdu nic necertifikuje.
Jak uz muzete tusit z vyse uvedeneho, ssh opravdu umi mechanizmus s velice podobnymi vlastnostmi. Uzivatel prokazuje serveru znalost sveho soukromeho klice, ktery server overuje vuci verejnym klicum, ktere ziskava z nejruznejsich na konfiguraci zavislych mist (treba ~/.ssh/authorized_keys). Jedna se principialne o tentyz mechanizmus, kterym klient overuje identitu serveru.
Klic vyrobite nastrojem ssh-keygen(1) (prekvapive), pokud si spravne vzpominam, PuTTY pouziva nejaky vlastni nekompatibilni format, ktery je ovsem mozne trivialne konvertovat jakymsi nastrojem distribuovanym spolu s PuTTY. Neni trivialni (a vlastne to ani moc nedava smysl) kombinovat heslo a verejne klice, nicmene verejny klic jako takovy je mozno chranit heslem. |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
31.3.2007 10:31
Temistokles
|
Asi som sa zle vyjadril. Myslel som certifikát, ktorý by slúžil na overenie užívateľa, rovnako ako sa overuje server. Teda by šlo o overovanie "kľúčov". Doteraz som žil v tom, že sa jedná o certifikáty (aspoň som sa vždy stretol s týmto pomenovaním). Ono je to ale vlastne jedno ako to nazveme :-D.
Ešte položím niekoľko ďalších otázok. Vygenerujem si kľúč. Kam ho na serveri uložím? Do ~/.ssh/authorized_keys? A ako zamedzímserveru, aby sa vôbec "rozprával" s ľudmi, ktorých certifikát nepovažujem za dôveryhodný? |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
31.3.2007 15:06
Aleš Hakl
|
Bydliště: Praha |
Certifikat spojuje klic s nejakou entitou ktera jim disponuje, to znamena ze v sobe obsahuje i identifikaci te entity a je typicky nekym podepsan. Nicmene mate pravdu, ze se tento termin pouziva i v teto souvislosti, je to zpusobeno tim, ze klientske certifikaty funguji z pohledu uzivatele uplne stejne.
Pote co vygenerujete klic, dostanete dva soubory, jeden velky, ktery obsahuje (volitelne sifrovanou) dvojici soukrommy+verejny klic a jeden maly, ktery obsahuje pouze verejny klic. Do authorized_keys nakopirujete verejne klice, ktere maji byt dostatecne pro prihlaseni tohoto uzivatele.
Je rozumne, aby uzivatel sve heslo znal, pokud chcete zamezit tomu, aby se uzivatel prihlasil heslem vzdalene musite zakazat duverovani heslum v nastaveni sshd a pripadne upravit nastaveni PAM tak, aby nebylo mozne heslo pouzivat ani tam (teoreticky jde zakazat pouzivani PAM v nastaveni sshd, ale mam pocit, ze to ma jeste nejake dalsi, obvykle nezadouci, dusledky).
Server pochopitelne musi komunikovat s kymkoli, aby byl schopny zjistit, ze protistrana disponuje klicem, kteremu duveruje. Pokud chcete omezit to kymkoli, musite tak ucinit na urovni TCP/IP. |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
2.4.2007 21:10
Temistokles
|
Super. Podarilo sa mi dosiahnuť, aby sa na server dalo prihlásiť pomocou certifikátu. Je ešte teda možné vypnúť prihlasovanie ľudí, ktorí platný certifikát nemajú? Teda nedovoliť prihlasovanie cez heslo. Celkom som to totiž nepochopil :-) |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
2.4.2007 22:16
Temistokles
|
Jedná sa o položku
PasswordAuthentication yes -> no?
Nerád by som si zrušil prístup na server :D |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
2.4.2007 23:22
Aleš Hakl
|
Bydliště: Praha |
To je jedna z casti. Druhou je overit, ze ani zadne jine povolene autentizacni metody neumoznuji prihlasit se heslem (jednou z nich je treba keyboard-interactive, na kterou je navesen prave vyse zmineny PAM). |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
4.4.2007 14:53
Temistokles
|
Super, podarilo sa mi vyradiť to heslo opísaným spôsobom. Následne som si vygeneroval certifikáty. Kde nájdem nastavenia ostatných spomínaných možností prihlásenia heslom? Je možné PAM vypnúť úplne? Čo by to malo za následky? |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
4.4.2007 15:36
Aleš Hakl
|
Bydliště: Praha |
Nastaveni PAMu najde prekvapive v nastaveni PAMu (/etc/pam.d/). Vypnout PAM uplne pravdepodobne neni nejlepsi napad, nicmene muzete zkusi vypnout pozivani
PAMu v sshd (UsePAM, mam takovy pocit, ze default v mnoha distribucich je vypnuto, takze by to zrejme melo fungovat dobre). |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
5.4.2007 22:22
Temistokles
|
Pekne ďakujem, veľmi mi to pomohlo. |
|
|
Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP (link) |
6.5.2007 10:02
Temistokles
|
Dobrý deň,
došiel som ešte k jednej záludnosti. Pokúšal som sa podobný software ako WinSCP a PuTTy rozbehať aj na Linuxe (konkrétne Ubuntu). PuTTy som zohnal, dokázal som do neho vložiť aj svoj kľúč, čo je však väčší problém, nedokázal som nájsť vhodnú alternatívu k WinSCP. Teda všetky, ktoré som našiel boli samozrejme veľmi podobné, ale čo je podstatné, nedokázal som do nich nijak vložiť svoj kľúč. Existuje nejaký WinSCP podobný software pre Linux (ale potrebujem, aby podporoval importovanie kľúčov).
Vďaka za odpoveď. |
|
|
|
Příspívat do diskuze mohou pouze registrovaní uživatelé.
|
|
Vyhledávání software
Vyhledávání článků
28.11.2018 23:56 /František Kučera Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1
12.11.2018 21:28 /Redakce Linuxsoft.cz 22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář
6.11.2018 2:04 /František Kučera Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
4.10.2018 21:30 /Ondřej Čečák LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář
18.9.2018 23:30 /František Kučera Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
9.9.2018 14:15 /Redakce Linuxsoft.cz 20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business.
Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář
12.8.2018 16:58 /František Kučera Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář
16.7.2018 1:05 /František Kučera Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář
Více ...
Přidat zprávičku
Poslední diskuze
31.7.2023 14:13 /
Linda Graham iPhone Services
30.11.2022 9:32 /
Kyle McDermott Hosting download unavailable
13.12.2018 10:57 /
Jan Mareš Re: zavináč
2.12.2018 23:56 /
František Kučera Sraz
5.10.2018 17:12 /
Jakub Kuljovsky Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?
Více ...
|