2008/2/11 CDMB . <[EMAIL PROTECTED]>: > Eu tenho um servidor com o FreeBSD rodando sshd (normal), > quando me conecto de um outro PC (Windows com o Putty, por exemplo) > e desse PC eu não havia me conectado antes ele me dá uma mensagem > sobre a troca de chaves se eu respondo "Sim" ele me abre o login e pronto, > digito o usuário e senha e tô conectado no servidor... > > A questão é: pra que essa troca de chaves?! Um invasor pode responder > "Sim" que o PC passa a ser confiável do mesmo modo. Fica parecendo > meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito.
Pare conectar a um servidor é preciso ter a chave pública dele. Se tu não a tiveres o servidor a enviará e o ssh (ou putty, etc) perguntará se tu queres aceitá-la. Fica a teu critério dizer sim ou não. Ter a chave do servidor serve como medida de segurança no caso de alguém ter se apoderado do endereço da máquina (IP spoofing) ou de algum gateway que exista no caminho (man-in-the-middle attack). Se quiseres ter segurança absoluta então tu deves obter a chave do servidor de uma maneira confiável e instalá-la manualmente no repositório de cada usuário (*). > Acho que seria considerado segurança se eu criasse uma chave no meu > PC Windows e o root do servidor acrescentasse ela nele. Isso inverteria a lógica da operação do sshd. A idéia é que o servidor seja confiável para os clientes, não o contrário. Lembra que no caso do servidor existe apenas um sshd por máquina; muitos usuários, porém, podem iniciar conexões a partir de uma mesma máquina. Se quiseres forçar o servidor a aceitar apenas conexões de usuários conhecidos então desabilita autenticação via PAM e senha, forçando todo mundo a autenticar via chaves públicas e privadas. Isso não é ineentemente mais seguro do que autenticação com senha, mas pelo menos te garante que quem entrou no sistema tem uma chave privada cuja chave pública correspondente já está instalada. Resta o problema de instalar pela primeira vez a chave pública de cada usuário, o que nos leva ao mesmo problema de "quem veio primeiro, o ovo ou a galinha?", assinalado acima (*). -- Carlos A. M. dos Santos ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd