O grupo no qual você está postando é um grupo da Usenet. As mensagens postadas neste grupo farão com que o seu e-mail fique visível para qualquer pessoa na internet.
Sua resposta não foi enviada.
A sua postagem aparecerá após ser aprovada pelos moderadores.
Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos chegar a um acordo.
Existe possibilidade de, o SSH aceitar como autenticação, a Chave de Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal do sistema (via /etc/passwd/shadow) ?
No ambiente de testes, consegui conectar normalmente usando chave, e se eu removo a chave, então o SSH me pergunta pela senha do usuário.
A idéia é forçar que o SSH só permita acesso se o usuário tiver a senha dele normal, mais a chave gerada.
> Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
> Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
> chegar a um acordo.
> Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
> Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
> do sistema (via /etc/passwd/shadow) ?
> No ambiente de testes, consegui conectar normalmente usando chave, e
> se eu removo a chave, então o SSH me pergunta pela senha do usuário.
> A idéia é forçar que o SSH só permita acesso se o usuário tiver a
> senha dele normal, mais a chave gerada.
>> Administrador de Redes e Professor Universitário
>> Especialista em Redes de Computadores
>> Análise de Sistemas e Banco de Dados
>> Slackware Linux, OpenBSD e FreeBSD
>> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
> > Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
> > chegar a um acordo.
> > Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
> > Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
> > do sistema (via /etc/passwd/shadow) ?
> > No ambiente de testes, consegui conectar normalmente usando chave, e
> > se eu removo a chave, então o SSH me pergunta pela senha do usuário.
> > A idéia é forçar que o SSH só permita acesso se o usuário tiver a
> > senha dele normal, mais a chave gerada.
> >> Administrador de Redes e Professor Universitário
> >> Especialista em Redes de Computadores
> >> Análise de Sistemas e Banco de Dados
> >> Slackware Linux, OpenBSD e FreeBSD
> >> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
>> Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
>> chegar a um acordo.
>> Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
>> Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
>> do sistema (via /etc/passwd/shadow) ?
>> No ambiente de testes, consegui conectar normalmente usando chave, e
>> se eu removo a chave, então o SSH me pergunta pela senha do usuário.
>> A idéia é forçar que o SSH só permita acesso se o usuário tiver a
>> senha dele normal, mais a chave gerada.
>>> Administrador de Redes e Professor Universitário
>>> Especialista em Redes de Computadores
>>> Análise de Sistemas e Banco de Dados
>>> Slackware Linux, OpenBSD e FreeBSD
>>> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
> Administrador de Redes e Professor Universitário
> Especialista em Redes de Computadores
> Análise de Sistemas e Banco de Dados
> Slackware Linux, OpenBSD e FreeBSD
> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
Enio, tenta da uma olhada no altpf, vc cria conta com chaves para o altpf e deixa as regras da porta ssh só pra estabelecer a conexão e na regra do altpf libera a porta com sua regra padrão.
> Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
> chegar a um acordo.
> Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
> Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
> do sistema (via /etc/passwd/shadow) ?
> No ambiente de testes, consegui conectar normalmente usando chave, e
> se eu removo a chave, então o SSH me pergunta pela senha do usuário.
> A idéia é forçar que o SSH só permita acesso se o usuário tiver a
> senha dele normal, mais a chave gerada.
penso que somente com a chave já estaria bem seguro, acontece que por
necessidade tenho que conectar ao servidor a partir de mais de um
computador, o que me força ter que carregar a chave num pendrive, o
que eu não acho seguro, ou posso correr o risco (meio improvável,
mas...) de a chave ser copiada do meu computador, então basta a chave
para que alguém mal intencionado possa ter acesso ao servidor.
outro ponto importante é que, como pode ocorrer futuramente de outras
pessoas precisar acessar o shell do servidor, pela chave, eu corro o
risco de uma dessas outras pessoas "passar" a chave para outras, e
comprometer a segurança, é claro que o mesmo risco acontece com as
pessoas que possam ter a senha
mas esse lance de autenticação usando chave e a senha de usuário
realmente seria muito bom... tenho discutido esse assunto na lista
freebsd-br do FUG e lá chegamos a conclusão que isso é impossível,
infelizmente.
>> > Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
>> > chegar a um acordo.
>> > Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
>> > Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
>> > do sistema (via /etc/passwd/shadow) ?
>> > No ambiente de testes, consegui conectar normalmente usando chave, e
>> > se eu removo a chave, então o SSH me pergunta pela senha do usuário.
>> > A idéia é forçar que o SSH só permita acesso se o usuário tiver a
>> > senha dele normal, mais a chave gerada.
>> >> Administrador de Redes e Professor Universitário
>> >> Especialista em Redes de Computadores
>> >> Análise de Sistemas e Banco de Dados
>> >> Slackware Linux, OpenBSD e FreeBSD
>> >> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
> Administrador de Redes e Professor Universitário
> Especialista em Redes de Computadores
> Análise de Sistemas e Banco de Dados
> Slackware Linux, OpenBSD e FreeBSD
> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
Talvez você pudesse adora uma política de troca de chaves com uma
certa frequência. Tipo semanal... Claro que você teria que arrumar uma
forma de automatizar isso. Não acho que o altpf vai resolver o
problema já que o problema é na autenticação inicial.
> penso que somente com a chave já estaria bem seguro, acontece que por
> necessidade tenho que conectar ao servidor a partir de mais de um
> computador, o que me força ter que carregar a chave num pendrive, o
> que eu não acho seguro, ou posso correr o risco (meio improvável,
> mas...) de a chave ser copiada do meu computador, então basta a chave
> para que alguém mal intencionado possa ter acesso ao servidor.
> outro ponto importante é que, como pode ocorrer futuramente de outras
> pessoas precisar acessar o shell do servidor, pela chave, eu corro o
> risco de uma dessas outras pessoas "passar" a chave para outras, e
> comprometer a segurança, é claro que o mesmo risco acontece com as
> pessoas que possam ter a senha
> mas esse lance de autenticação usando chave e a senha de usuário
> realmente seria muito bom... tenho discutido esse assunto na lista
> freebsd-br do FUG e lá chegamos a conclusão que isso é impossível,
> infelizmente.
> abraço
> 2009/6/9 Ananias Filho <kra...@gmail.com>:
>> Isso é muito interessante Enio.
>> Irei procurar informações a respeito
>> bem bom isso ai....
>>> > Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
>>> > chegar a um acordo.
>>> > Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
>>> > Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
>>> > do sistema (via /etc/passwd/shadow) ?
>>> > No ambiente de testes, consegui conectar normalmente usando chave, e
>>> > se eu removo a chave, então o SSH me pergunta pela senha do usuário.
>>> > A idéia é forçar que o SSH só permita acesso se o usuário tiver a
>>> > senha dele normal, mais a chave gerada.
>>> >> Administrador de Redes e Professor Universitário
>>> >> Especialista em Redes de Computadores
>>> >> Análise de Sistemas e Banco de Dados
>>> >> Slackware Linux, OpenBSD e FreeBSD
>>> >> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
>> Administrador de Redes e Professor Universitário
>> Especialista em Redes de Computadores
>> Análise de Sistemas e Banco de Dados
>> Slackware Linux, OpenBSD e FreeBSD
>> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
Bom,
o que fiz uma vez foi:
- implementar um sistema WEB para controle de acesso pelo ip identificado
(php + pf) onde eu entrava via http no sistema e cadastrava o ip q eu iria
acessar via web. dai o sistema incluia o ip em uma regra do pf para liberar
acesso ssh ao ip e em seguida, eu acessava via ssh pois o ip estava
liberado.
Gambiarra? sim (ou talvez) mas foi a melhor maneira que encontrei para
solucionar o problema de um cliente.
> Enio, tenta da uma olhada no altpf, vc cria conta com chaves para o
> altpf e deixa as regras da porta ssh só pra estabelecer a conexão e na
> regra do altpf libera a porta com sua regra padrão.
> Eu usei isso algumas vezes.
> Espero que ajude.
> --
> Vinícius
> Enio Marconcini -:- www.Enio.Pro.Br -:- wrote:
> > Tive discutindo isso na lista FUG de FreeBSD mas lá não conseguimos
> > chegar a um acordo.
> > Existe possibilidade de, o SSH aceitar como autenticação, a Chave de
> > Criptografia (gerada pelo ssh-keygen) junto com a autenticação normal
> > do sistema (via /etc/passwd/shadow) ?
> > No ambiente de testes, consegui conectar normalmente usando chave, e
> > se eu removo a chave, então o SSH me pergunta pela senha do usuário.
> > A idéia é forçar que o SSH só permita acesso se o usuário tiver a
> > senha dele normal, mais a chave gerada.
|
