Veres Sándor írta:
A (csak) kulcsos megoldás előnye, hogy gyakorlatilag kizárt a
próbálgatásos betörés az internet felől (ez a leggyakoribb a nem
célzott támadások között).
Már ez is jól hangzik. Ebben az esetben szükségtelenné válik / válhat
pl. az iptables azon alkalmazása; ha pl. 3 hibás próbálkozás érkezik a
szerverre, akkor tiltom a portot x óráig? Vagy ez még akkor is maradjon
benne? És ajánlott még a fail2ban használta is (gondolom)?
Én így látom, ahogy te is leírtad, ezért nem használok fail2ban és
hasonló megoldásokat egyáltalán. Persze lehet használni ezeket a plusz
dolgokat, de konkrétan az ssh-nál (ha kulccsal használom) nem jelent
akkora pluszt, hogy beállítsam. Ízlések és pofonok...
Hátránya (ahogy te is említetted), hogy tárolni kell valahol a
kulcsot. Ellenben, ha a kulcsnak is elég erős jelszót választasz,
akkor csökkenthető a kockázat. (Bár még mindig gyorsabb egy kulcs
jelszavát törni offline, mint a szerveren próbálkozni.)
A kulcs jelszava kb. ugyanazt jelenti, mint ha egy tömörített zip
állománynál jelszót állítok be? Amikor bejelentkezéskor megadom a kulcs
helyét, akkor ezt a jelszót remélem, nem kell begépelni? És akár a
jelszót el is felejthetem, mert a későbbiekben nem lesz rá szükségem?
Bocsánat a buta kérdésekért, de egy két dolgot tisztán szeretnék látni
mielőtt áttérnék kulcsos azonosításra.
Igen, a kulcs jelszava leginkább egy tömörített fájl jelszavához
hasonlítható ilyen szempontból. Ezt alapesetben a kulcs minden
használatakor meg kell adni. Vannak azonban ötletes kiegészítők is,
amivel könnyíthetünk ezen. Ilyen például a putty kiegészítéseként a
pageant, amibe ha betöltöd a kulcsot, akkor egyszer megkérdezi a hozzá
tartozó jelszót, majd amíg fut ez a kis alkalmazás, addig megjegyzi a
dekódolt kulcsot, és nem kell újra megadni a jelszót. Következő
újraindítás után természetesen újra be kell tölteni a kulcsot, és
kérdezi a jelszót is.
Van még egy másik lehetőség, az pedig a jelszó nélküli, kódolatlan kulcs
használata. Ezt viszont erősen ellenzem, mivel így valóban csak a
kulcsfájlt kell megszerezni, és máris be lehet lépni !jelszó nélkül! a
nevedben a szerverre.
Szintén a putty kiegészítője a puttygen nevű alkalmazás, ennek
segítségével egyszerűen lehet jelszót módosítani a kulcson.
Ezért szeretném kombinálni a két hitelesítési módot, mert ezzel már
tényleg olyan minimálisra csökkenthető a kockázat, hogy gyakorlatilag
elhanyagolható.
Ha ezt sikerül megoldanod, akkor kérlek oszd meg velünk.
Igyekszem... :)
--
Hambuch Gábor
hamb...@w5.hu
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.1let.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
