Apakah benar-benar aman untuk terhubung ke server menggunakan SSH dari hotel selama perjalanan?
Server :
- CentOS 7
- Otorisasi hanya dengan kunci RSA - sandi auth ditolak
- Port non-standar
Workstation :
- Ubuntu 14
- kata sandi pengguna
- kata sandi untuk menggunakan kunci RSA (metode standar)
Mungkin itu ide yang baik untuk menjaga setengah dari kunci RSA pribadi pada USB stick, dan secara otomatis (dengan script) tambahkan setengah ini ke ~ / .ssh / private_key sebelum menghubungkan?
Internet akan melalui WIFI di hotel, atau kabel di apartemen sewaan.
UPD
Maaf karena tidak jelas pada awalnya. Maksud saya keamanan dalam dua aspek di sini:
- Keamanan hanya koneksi SSH melalui jaringan yang tidak terpercaya.
- Keamanan komputer dengan kunci yang diperlukan untuk koneksi SSH - jika dicuri, cara melindungi server ...
security
physical-security
Sergey Serov
sumber
sumber
Jawaban:
Jadi, tentang membuat koneksi ssh melalui koneksi yang secara eksplisit tidak dipercaya.
Dengan asumsi Anda sudah memiliki entri ~ / .ssh / known_hosts dari koneksi sebelumnya, ya Anda harus dapat terhubung tanpa khawatir tentang apa pun jaringan yang aman atau tidak. Hal yang sama berlaku jika Anda memiliki beberapa cara lain untuk memverifikasi kunci host ssh.
Jika Anda belum pernah terhubung ke server sebelumnya, atau memiliki cara lain untuk memverifikasi kunci host ssh, maka Anda mungkin ingin lebih berhati-hati mengenai jaringan yang Anda gunakan untuk terhubung.
sumber
Pada bagian kedua dari pertanyaan Anda, Anda sepertinya khawatir tentang notebook Anda dicuri dan, dengan itu, kunci pribadi Anda untuk login SSH-kurang-sandi ke server Anda.
Harap dicatat bahwa ini dapat dengan mudah diselesaikan (masalah kunci privat) dengan menyimpan kunci privat "terenkripsi" dengan "frasa sandi": mereka dapat dienkripsi pada awalnya, sambil menghasilkan dengan utilitas ssh-keygen , dengan memberikan frasa sandi di akhir proses pembuatan atau, jika Anda sudah membuatnya tidak diuraikan, gunakan utilitas ssh-keygen dengan
-p
opsi. Setelah kunci dienkripsi, pada setiap login Anda diminta untuk memasukkan frasa sandi terkait dan .... jika benar, semuanya akan berjalan normal.Juga, jika Anda tidak ingin memasukkan frasa sandi setiap kali meluncurkan klien ssh, Anda dapat menggunakan ssh-agent : ia dapat melacak, dalam memori, dari kunci pribadi yang tidak dienkripsi. Anda cukup menjalankan ssh-add yang menunjuk ke file yang menahan kunci terenkripsi dan, setelah meminta frasa sandi, kunci ditambahkan ke set yang dikelola oleh ssh-agent. Setelah itu, setiap kali klien SSH memerlukan kunci yang dilindungi frasa sandi, agen ssh secara transparan memberikan kunci pribadi yang tidak dienkripsi terkait kepada klien ssh. Jadi, bagi Anda, tidak perlu memasukkannya secara interaktif.
Harap dicatat bahwa ssh-agent dapat mengelola banyak kunci, dan jelas Anda dapat "menyetel" notebook / desktop Anda untuk meluncurkan
ssh-add
utilitas (untuk mengisi set kunci ssh-agent) pada saat login / waktu mulai.Juga, jika seseorang mencuri laptop Anda, kunci pribadi Anda mungkin bukan satu-satunya konten "sensitif" yang akan Anda berikan: harap dicatat bahwa dengan distribusi desktop Linux hari ini, SANGAT mudah untuk mengatur notebook yang mengandalkan "terenkripsi". "sistem file (
/home
sebagai starter, tetapi keseluruhan/
jika diperlukan). Jadi, tolong, pertimbangkan ini juga.Semua hal di atas, jelas, TIDAK berlaku jika Anda TIDAK mengandalkan notebook ANDA SENDIRI .
PS: mengenai kemungkinan Anda untuk menyimpan dua bagian kunci pribadi yang tidak dienkripsi pada media yang berbeda: Saya sangat menyarankan Anda untuk tidak melakukan ini, karena menjaga dua potong konten sensitif dalam bentuk yang tidak terenkripsi jauh, jauh lebih buruk, daripada menyimpan dua salinan lengkap dari seluruh konten, dienkripsi!
sumber
Bagian pertama dari pertanyaan Anda sudah dijawab oleh respons sebelumnya. Sesuai bagian kedua Anda, saya akan merekomendasikan untuk menambahkan faktor kedua ke login ssh Anda menggunakan pam_google_authenticator. Ini adalah pengaturan yang cukup mudah dan konfigurasi pada distro apa pun. Dalam kasus di mana kunci pribadi yang Anda bawa dicuri, mereka tidak dapat masuk ke server Anda tanpa password TOTP satu kali dari google-authenticator.
https://www.howtoforge.com/tutorial/secure-ssh-with-google-authenticator-on-centos-7
sumber