Beberapa sistem Linux & FreeBSD saya memiliki lusinan pengguna. Staf akan menggunakan node "ssh gateway" ini ke SSH ke server internal lainnya.
Kami khawatir beberapa orang ini menggunakan kunci SSH pribadi yang tidak dienkripsi (kunci tanpa frasa sandi . Ini buruk , karena jika cracker pernah mendapatkan akses ke akun mereka di mesin ini, mereka dapat mencuri kunci pribadi dan sekarang memiliki akses ke mesin apa pun yang menggunakan kunci yang sama ini. Untuk alasan keamanan, kami mengharuskan semua pengguna untuk mengenkripsi kunci SSH pribadi mereka dengan frasa sandi.
Bagaimana saya bisa tahu jika kunci pribadi tidak dienkripsi (mis. Tidak mengandung frasa sandi)? Apakah ada metode yang berbeda untuk melakukan ini pada kunci ASCII-lapis baja vs kunci non-ASCII-lapis baja?
Memperbarui:
Untuk memperjelas, anggap saya memiliki akses superuser pada mesin dan saya bisa membaca kunci pribadi semua orang.
Jawaban:
Nah, kunci privat OpenSSH dengan frasa sandi kosong sebenarnya tidak dienkripsi.
Kunci pribadi terenkripsi dinyatakan seperti itu dalam file kunci pribadi. Misalnya:
Jadi sesuatu seperti itu
harus melakukan trik.
sumber
-L
flag hanya mencantumkan nama file yang tidak cocok dengan polanya. Jadi jawaban ini benar sendiri.Saya mencari-cari ini dan tidak pernah menemukan jawaban yang memuaskan, tetapi saya berhasil membangunnya, jadi ...
Perhatikan bahwa ini akan memperbarui file jika berfungsi, jadi jika Anda mencoba untuk tidak diperhatikan oleh pengguna yang kunci Anda uji, Anda mungkin ingin menyalin kunci terlebih dahulu. OTOH, karena Anda baru saja menangkap pengguna Anda dengan kunci tanpa kata sandi, mungkin Anda tidak peduli jika mereka menyadarinya. : D
sumber
-N ''
sebaliknya sehingga frasa sandi selalu tidak berubah?Jika Anda memiliki akses ke kunci pribadi, saya kira, Anda dapat menggunakannya tanpa frasa sandi untuk mengautentikasi terhadap kunci publik. Jika ini berhasil, Anda tahu itu tidak memiliki frasa sandi. Jika sudah, itu akan memberi Anda pesan kesalahan.
Jika Anda tidak memiliki akses ke kunci pribadi, saya ragu Anda dapat mendeteksi ini. Tujuan passphrase adalah untuk "membuka" kunci pribadi, itu tidak memiliki fungsi sehubungan dengan kunci publik.
Bahkan, jika mau, itu akan membuat sistem kurang aman. Seseorang dapat menggunakan kunci publik, yang tersedia untuk mencoba memasang brute force atau serangan lain yang mencoba memecahkan kata sandi.
sumber