Perusahaan saya telah menonaktifkan otentikasi kunci publik SSH, oleh karena itu saya harus memasukkan secara manual setiap kali kata sandi saya (saya tidak seharusnya berubah /etc/ssh/sshd_config
).
Namun gssapi-keyex
dan gssapi-with-mic
otentikasi diaktifkan (lihat di bawah ini ssh
hasil debug).
Bagaimana saya bisa menggunakan login otomatis dalam kasus ini?
Bisakah saya mengeksploitasi gssapi-keyex
dan / atau gssapi-with-mic
otentikasi?
> ssh -v -o PreferredAuthentications=publickey hostxx.domainxx
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to hostxx.domainxx [11.22.33.44] port 22.
debug1: Connection established.
debug1: identity file /home/me/.ssh/identity type -1
debug1: identity file /home/me/.ssh/id_rsa type -1
debug1: identity file /home/me/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'hostxx.domainxx' is known and matches the RSA host key.
debug1: Found key in /home/me/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password
debug1: No more authentication methods to try.
Permission denied (gssapi-keyex,gssapi-with-mic,password).
ssh
authentication
kerberos
olibre
sumber
sumber
fab
file yang akan masuk ke komputer lain (SSH gssapi tanpa meminta kata sandi) dan membuka shell? Anda dapat memberikannya dalam jawaban. (Dalam lima menit, saya tidak menemukan tutorial bagaimana melakukannya). Cheers;)Jawaban:
Mungkin.
kinit
, MIT Kerberos untuk Windows)?host/[email protected]
.GSSAPI
otentikasi diaktifkan pada klien Anda?Jika Anda mengatakan "ya" untuk semua hal di atas, maka selamat, Anda dapat menggunakannya
GSSAPIAuthentication
.Langkah-langkah pengujian:
(Dengan asumsi: domain = example.com; realm = EXAMPLE.COM)
kinit [email protected]
pam_krb5
ataupam_sss
(denganauth_provider = krb5
) yang sesuaipam stack
.kvno host/[email protected]
ssh
melakukan ini secara otomatis jika Anda memiliki cache yang valid dan Anda berbicara dengansshd
yang mendukunggssapi-with-mic
ataugssapi-keyex
.dig _kerberos.example.com txt
harus kembali"EXAMPLE.COM"
[domain_realm]
bagian/etc/krb5.conf
as.example.com = EXAMPLE.COM
, tetapidns
metode ini berskala jauh lebih baik.ssh -o GSSAPIAuthentication=yes [email protected]
sumber
gssapiauthentication
? Mungkin saya juga bisa menggunakangssapiauthentication
di mesin Linux saya. (Haruskah saya gunakankinit
untuk itu?) Cheers;)Metode 4 langkah ini benar (ada juga catatan Kerberos SRV dalam DNS yang bahkan lebih elegan dan hadir di setiap Direktori Aktif). Saya menggunakan ini sepanjang waktu, dan telah menganjurkan metode pubkey di atas untuk, sebagian besar alasan terkait keamanan dan kontrol.
Yang mengatakan, ini hanya memberikan login interaktif, meskipun dapat quasi-interaktif setelah Anda mendapatkan tiket di workstation Anda. Tiket Kerberos bertindak seperti agen SSH; setelah Anda memilikinya, koneksi baru instante dan bebas kata sandi; walaupun dengan batas waktu.
Untuk mendapatkan login batch interaktif, Anda perlu mendapatkan file keytab, file yang pada dasarnya berisi kata sandi untuk akun Kerberos, seperti halnya separuh pribadi kunci SSH. Menurut tindakan pencegahan keamanan berlaku; terutama karena keytab tidak dienkripsi atau dilindungi dengan kata sandi.
Saya cukup enggan untuk memberikan kepada pengguna saya keytab mereka untuk akun pribadi mereka, tetapi saya secara agresif menggunakan akun layanan dengan izin minimal untuk berbagai pekerjaan batch, terutama di mana sangat penting bahwa kredensial didelegasikan ke sistem jarak jauh, sesuatu yang mudah dilakukan pubkey ' t mencapai.
Keytabs dapat dibuat menggunakan ktutil di Unix atau KTPASS.EXE di Windows (yang terakhir dari layanan AD Kerberos). Perhatikan bahwa ktutil ada dalam dua rasa, Heimdal dan MIT, dan sintaksanya berbeda. Membaca halaman manual pada sistem yang relevan membantu.
sumber