Για όσους από εμάς χρησιμοποιούμε στην καθημερινότητά μας το SSH, δηλαδή, όσοι από εμάς χρειάζεται να έχουμε πρόσβαση σε απομακρυσμένους υπολογιστές ή διακομιστές συνεχώς στην καθημερινότητά μας φτάνουμε στο σημείο να χορταίνουμε να πληκτρολογούμε κωδικούς πρόσβασης, θα ήταν:
- Πληκτρολογήστε ένα τερματικό: ssh user@server
- Περιμένετε λίγα δευτερόλεπτα
- Ο διακομιστής στον οποίο θέλουμε να συνδεθούμε θα μας ζητήσει τον κωδικό πρόσβασης
- Μόλις βάλουμε τον κωδικό πρόσβασης και πατήσουμε [Enter] τότε θα έχουμε πρόσβαση στον απομακρυσμένο διακομιστή
Και τώρα η ερώτησή μου, δεν είναι πιο απλό να πληκτρολογείς;:
sshpass -p «PASSWORD» ssh root@servidor
Για παράδειγμα, ας υποθέσουμε ότι ο χρήστης είναι ρίζα, ο διακομιστής είναι: devdesdelinux. Καθαρά και ο κωδικός είναι xunil ... τότε η γραμμή θα ήταν:
sshpass -p xunil ssh root@dev.desdelinux.net
Για να το πετύχουμε αυτό πρέπει απλά να εγκαταστήσουμε το πακέτο sshpassΣτο Debian / Ubuntu ή παράγωγα θα ήταν με sudo apt-get εγκαταστήστε το sshpass Εν τω μεταξύ, το ArchLinux ή παράγωγα θα αρκούσαν με sudo pacman -S sshpass
Αν θέλουμε να καθορίσουμε τη θύρα (επειδή το SSH δεν βρίσκεται στη θύρα 22) προσθέτουμε -p «ΛΙΜΑΝΙ» ... δηλαδή, υποθέτοντας ότι είναι η θύρα 9122:
sshpass -p xunil ssh root@dev.desdelinux.net -p 9122
Για να απλοποιήσουμε όλο αυτό ακόμα περισσότερο μπορούμε να δημιουργήσουμε ψευδώνυμαΓια παράδειγμα, κατά την εκτέλεση του διακομιστή1, εκτελείται ολόκληρη η γραμμή για σύνδεση στον διακομιστή1 μέσω SSH (sshpass -p κωδικός πρόσβασης user@server1) ή κάτι παρόμοιο, οπότε γλιτώνουμε και τον εαυτό μας από το να βάλουμε μια πολύ μεγάλη γραμμή 😉
Τέλος πάντων, ελπίζω ότι αυτό σας ήταν χρήσιμο.
Παρεμπιπτόντως, ένας άλλος τρόπος για να αποφύγετε την πληκτρολόγηση του κωδικού πρόσβασης κατά την πρόσβαση μέσω SSH είναι η χρήση δημόσια και ιδιωτικά κλειδιά.
αφορά
Ζητώ συγγνώμη, αλλά αυτό είναι μια τρομερή παρέκκλιση ασφαλείας!! Έχετε κολλήσει τον κωδικό πρόσβασης σε σενάρια, αρχεία απλού κειμένου, ιστορικό bash κ.λπ.
Για αυτό το openssh υποστηρίζει έλεγχο ταυτότητας δημόσιου κλειδιού χρησιμοποιώντας RSA.
Χάρη σε αυτό το είδος πρακτικής (που εφαρμόζεται από υποκείμενα που αυτοαποκαλούνται «διαχειριστές») υπάρχει τόση ανασφάλεια στον υπολογιστή.
Χαιρετισμούς.
Ας δούμε. Ναι, είναι πρόβλημα ασφάλειας, αλλά δεν σημαίνει ότι τα "άτομα" είναι διαχειριστές ή δεν πρέπει να χρησιμοποιήσουν αυτήν τη μέθοδο. Η μέθοδος υπάρχει και εμφανίζεται σε περίπτωση που πρέπει να χρησιμοποιηθεί σε περιβάλλον όπου η ασφάλεια δεν αποτελεί πρόβλημα. Στο κατάστημα σας πουλάνε το μαχαίρι, αποφασίζετε αν το χρησιμοποιείτε για να κόψετε λαχανικά ή να σκοτώσετε κάποιον.
Κατανοώ τη θέση σας, αλλά λυπάμαι που ένα ιστολόγιο τέτοιας φήμης ενθαρρύνει αυτό το είδος πρακτικής, είναι σχεδόν σαν μια "συγγνώμη για την κακή διαχείριση του συστήματος" χεχε.
Μια αγκαλιά!!
Ακόμα δεν έχω καταλάβει ποιο είναι το πρόβλημα
Καθώς έχουμε επίσης μιλήσει για "πώς να αποκτήσουμε περισσότερη ασφάλεια" σε διάφορες πτυχές, μπορούμε επίσης να μιλήσουμε για άλλα "λιγότερο ασφαλή" θέματα. Στόχος μας είναι να προσφέρουμε τις πληροφορίες, εξαρτάται από εσάς να γνωρίζετε τι να κάνετε με αυτές. Επιπλέον, ο συγγραφέας της πιο παρανοϊκής ανάρτησης με ασφάλεια δεν μπορεί να είναι, πιστέψτε με, όταν πρόκειται για Διαχείριση Συστήματος, δεν κάνει κάτι τέτοιο.
Χαιρετισμούς 😉
Πρώτον, όταν είπα «εφαρμόζεται από άτομα που αυτοαποκαλούνται «διαχειριστές»», δεν αναφερόμουν σε καμία στιγμή στον συγγραφέα του άρθρου, δεν καταλαβαίνω γιατί είναι τόσο ευαίσθητοι.
Το πρόβλημα, από την άποψή μου, είναι ότι αυτό το εργαλείο αντιβαίνει σε όλες τις ορθές πρακτικές ασφάλειας. Πιστεύω ότι από την κοινότητα GNU / Linux πρέπει να διατηρήσουμε το πολύτιμο λειτουργικό μας σύστημα όσο το δυνατόν ασφαλέστερο. Θέλω να πω, δεν θα ήθελα να δω το GNU / Linux να μετατραπεί σε Windows (από άποψη ασφάλειας).
Δυστυχώς, υπάρχουν πολλοί αρχάριοι διαχειριστές που δεν γνωρίζουν τον σωστό τρόπο να κάνουν πράγματα και καταλήγουν να χρησιμοποιούν αυτά τα εργαλεία σε κρίσιμα συστήματα.
Φυσικά έχετε το δικαίωμα να δημοσιεύετε ό,τι θέλετε, αλλά επαναλαμβάνω, με στεναχωρεί που αυτό το blog (ένα από τα πιο σημαντικά στον ισπανόφωνο κόσμο) δίνει τη θέση του σε εργαλεία που απειλούν την ασφάλεια.
Χαιρετισμούς!
Και δώσε του τη Χουάνα με τη λεκάνη. Ακριβώς, επειδή είναι ένα ιστολόγιο αναφοράς, μας αρέσει να παρέχουμε κάθε είδους πληροφορίες. Το καταλαβαίνω αυτό:
Ένας χρήστης φτάνει και ρωτά: Πώς μπορώ να συνδεθώ σε έναν διακομιστή μέσω SSH χωρίς να μου ζητηθεί ο κωδικός πρόσβασης;
Τον απαντούν σε οποιοδήποτε φόρουμ: Όχι, αυτό είναι πρόβλημα ασφάλειας, κανείς δεν το κάνει αυτό.
Ακόμη και γνωρίζοντας, ο χρήστης δεν του λέει γιατί είναι πρόβλημα ασφαλείας. Κακό, πολύ κακό, είναι καλό που ξέρεις να κάνεις πράγματα, γι' αυτό και μέσα Desdelinux:
Ένας χρήστης φτάνει και ρωτά: Πώς μπορώ να συνδεθώ σε έναν διακομιστή μέσω SSH χωρίς να μου ζητηθεί ο κωδικός πρόσβασης;
Γράφουμε μια δημοσίευση και λέμε: Μπορείτε να χρησιμοποιήσετε αυτήν τη μέθοδο, λειτουργεί έτσι αλλά ΔΕΝ ΕΙΝΑΙ ΑΣΦΑΛΗΣ. Το πιο ασφαλές πράγμα είναι να χρησιμοποιήσετε αυτό το άλλο.
Ποιο πιστεύετε ότι είναι καλύτερο;
Εντάξει, σέβομαι τη θέση σου. Θερμούς χαιρετισμούς!!
Το SSHPass στην πραγματικότητα δεν απειλεί την ασφάλεια, όποιος απειλεί την ασφάλεια σε κάθε περίπτωση είναι ο χρήστης που το κάνει κατάχρηση.
Για παράδειγμα, εδώ είναι ένα εξαιρετικό παράδειγμα ότι το SSHPass δεν είναι μόνο χρήσιμο για αυτό για το οποίο μιλάω στην ανάρτηση, αλλά μπορεί να χρησιμοποιηθεί για (για παράδειγμα) διάρρηξη του OpenSSH-Server: http://paste.desdelinux.net/4810
Η εφαρμογή είναι ακριβώς αυτό, μια εφαρμογή, η χρήση που της δίνεται είναι αυτή που θα προκαλέσει αστοχίες που θέτουν σε κίνδυνο την ασφάλεια ή όχι.
Όσο για νευρικό ή ευαίσθητο, καθόλου, ίσως ήταν έτσι όπως το είπες (ή ότι η ανάγνωση δυσκολεύει την σωστή κατανόηση) αλλά ερμήνευσα ότι το σχόλιο απευθύνεται σε εμένα, αν δεν ήταν έτσι ζητώ συγγνώμη.
ΥΓ: Είμαι σίγουρος ότι θα υπάρξουν πολλοί που θα βρουν το σενάριο που έβαλα ενδιαφέρον και μάλιστα αστείο LOL!
Εντάξει, χαίρομαι που καταλήξαμε σε συμφωνία. Χαιρετίσματα!!
Είπα ποτέ ότι αυτή η μέθοδος είναι πιο ασφαλής από τη χρήση δημόσιων και ιδιωτικών κλειδιών;
Σε άλλο άρθρο μοιράστηκα ήδη πώς να τα χρησιμοποιήσω [1], τώρα απλώς εξηγώ έναν άλλο τρόπο για να πετύχετε το ίδιο ή κάτι παρόμοιο.
Όλοι χρησιμοποιούν αυτό που τους ταιριάζει καλύτερα, αυτό που προτιμούν. Εδώ απλώς εξήγησα μια από τις χρήσεις που μπορούν να δοθούν στο sshpass, μια άλλη θα μπορούσε να είναι μέσω ενός σεναρίου Bash για να σπάσει το SSH μέσω της χρήσης ενός λεξικού ... αλλά έλα, αυτή είναι μια άλλη άλλη χρήση.
Επαναλαμβάνω, μοιράζομαι μόνο τις γνώσεις μου σχετικά με το GNU/Linux. Το SSHPass μπορεί να μην είναι η ιδανική επιλογή για κάθε περίπτωση, αλλά είναι χρήσιμο, χωρίς αμφιβολία γι' αυτό.
BTW, αναφερόμενος σε: (εφαρμόζεται από θέματα που αυτοαποκαλούνται "διαχειριστές") ... heh ... heh ... heh ... Προτιμώ να μην σχολιάσω, δεν έχω τίποτα να αποδείξω σε κανέναν, για να μην αναφέρω ότι ο φίλος μου, δεν έχετε τα περισσότερα απομακρυσμένη ιδέα για το ποιος είμαι, πολύ λιγότερο από ό, τι ξέρω 😉
[1] https://blog.desdelinux.net/ssh-sin-password-solo-3-pasos/
Μην είστε νευρικοί, συμβαίνει ότι στον τομέα μου γνωρίζω άτομα που βασίζουν την εργασία τους στο Google και όταν επιλύουν προβλήματα αντιγράφουν και επικολλούν αυτό το είδος. Τότε ο διαχειριστής ασφαλείας είναι αυτός που "βάζει τους τροχούς στον τροχό" όταν εντοπίζει αυτούς τους τύπους ανωμαλιών. Στην υγειά σας!!
Χαλαρώστε, δεν αξίζει τον κόπο 😉
Σίγουρα, αλλά τότε ο κωδικός πρόσβασης καταχωρείται στις εντολές που χρησιμοποιούνται. Για λόγους ασφαλείας δεν πρέπει να γίνεται έτσι...
Αυτό σκεφτόμουν όταν διάβασα την ανάρτηση
Η προσθήκη αυτού στο .bashrc δεν θα αποθηκεύσει τις εντολές που σχετίζονται με το sshpass:
HISTIGNORE='sshpass *'
Θα κάνω μια ανάρτηση για το πώς να αγνοήσετε εντολές για να μην αποθηκευτούν στο ιστορικό του Bash σύντομα 😀
Ένας άλλος τρόπος για να αποτρέψετε την αποθήκευση εντολών είναι να βάζετε πάντα ένα κενό πριν από την εντολή. ^__^
Νομίζω ότι είναι πιο ασφαλές να χρησιμοποιείτε κλειδιά για σύνδεση μέσω SSH χωρίς να χρειάζεται να εισάγετε τον κωδικό πρόσβασης.
Από την άλλη πλευρά, η δημιουργία ενός πλήρους ψευδώνυμου εντολής όπου είναι αποθηκευμένος ο κωδικός πρόσβασης μπορεί να είναι ένα ζήτημα ασφαλείας.
Αν μου φαίνεται ένα ελάττωμα στην ασφάλεια των υπολογιστών, αλλά θα διασφαλίσουμε ότι δεν θα αποθηκευτούν στο ιστορικό bash δεν είναι τόσο το πρόβλημα που κάνουμε (εκτός από ένα ψευδώνυμο που θα ήταν τεράστιο), όπως λέει και ο Elav στο κατάστημα πουλήστε μας το μαχαίρι είμαστε αυτοί που θα δούμε τι να το χρησιμοποιήσουμε
Ενδιαφέρον, αλλά καλύτερα να χρησιμοποιήσω το δημόσιο και ιδιωτικό κλειδί που δείξατε σε άλλη καταχώριση.
@KZKG
Νομίζω ότι είναι πιο πρακτικό – και ασφαλές! – χρησιμοποιήστε κλειδιά RSA/ECDSA μαζί με μπρελόκ (πράκτορας SSH) για αυτόματο έλεγχο ταυτότητας.
Στην περίπτωσή μου, χρησιμοποιώ το SSH ένα Keychain, που αναπτύχθηκε από τους ανθρώπους του Funtoo, το οποίο λειτουργεί πολύ καλά, χρησιμοποιεί πολύ λίγους πόρους και είναι πολύ ασφαλές:
http://www.funtoo.org/Keychain
Παράδειγμα:
j:0 ~ > AliasSearch ssh
# SSH management
alias SSHCOPYIDecdsa='ssh-copy-id -i ~/.ssh/id_ecdsa.pub'
alias SSHCOPYIDrsa='ssh-copy-id -i ~/.ssh/id_rsa.pub'
alias SSHKEYGENecdsa='ssh-keygen -t ecdsa -b 521 -C "$(whoami)@$(hostname)-$(date -I)"'
alias SSHKEYGENrsa='ssh-keygen -t rsa -b 4096 -C "$(whoami)@$(hostname)-$(date -I)"'
Φόρμα ντε uso:
SSHKEYGEN {ecdsa, rsa}
SSHCOPYID {ecdsa, rsa} χρήστης @ {διακομιστής, ip}
# SSH servers
alias SERVER1mosh='eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa) && mosh -p # usr1@server1'
alias SERVER1='eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa) && ssh -v -p # usr1@server1.local'
alias SERVER101='eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa) && ssh -v -p # usr1@[direc. ip].101'
Πού:
-p #: θύρα
usr1 @ server1: διακομιστής χρήστη @ AVAHI
usr1@server1. τοπικό: user@AVAHI διακομιστής (ανάλογα με τον τρόπο διαμόρφωσης του διακομιστή σε ορισμένα συστήματα, είναι απαραίτητο να προσθέσετε το επίθημα .local)
usr1 @ [addr. ip] .101: σταθερή διεύθυνση ip.
/ etc / ssh / sshd_config: http://paste.chakra-project.org/4974/
~ / .ssh / config: http://paste.chakra-project.org/4975/
Λειτουργικό σύστημα: Arch Linux / Chakra
Ελπίζω να σας εξυπηρετεί, χαιρετισμούς!
Στην πραγματικότητα χρησιμοποιώ κλειδιά, όχι SSHPass για πρόσβαση στους διακομιστές μου... Ανακάλυψα το SSHPass όταν χρειαζόμουν έναν τρόπο για να κάνω αυτό το σενάριο: http://paste.desdelinux.net/4810
Αλλά... καλά, ήθελα να μοιραστώ το SSHPass με όλους, αλλά προφανώς δεν μπορούσα να βάλω ένα σενάριο εδώ που να επιτρέπει τη χρήση ενός λεξικού για την προσπάθεια παραβίασης του OpenSSH-Server HAHAHA!
«[…]Δεν μπορούσα να βάλω ένα σενάριο εδώ που να επιτρέπει τη χρήση ενός λεξικού για την προσπάθεια παραβίασης του OpenSSH-Server HAHAHA!»
Μα γιατί όχι!!?
Το hacking και το σπάσιμο δεν αποτελούν μέρος της εκμάθησης καλών πρακτικών ασφαλείας[0]!;
Παρακαλώ φίλε, προχωρήστε !!!
[0] Δεν είναι όμορφο να χρησιμοποιούμε λέξεις για να εννοούμε το ακριβώς αντίθετο από αυτό που κυριολεκτικά εκφράζουν!; Χακάρετε τη γλωσσολογία!!! ;-ΡΕ
Γεια, λαμβάνω αυτό το σφάλμα:
Δοκιμάζοντας κωδικούς πρόσβασης στο 192.168.20.11 στη θύρα 22 με χρήστη root
cat: with-letters.txt: Δεν υπάρχει τέτοιο αρχείο ή κατάλογος
το αρχείο με γράμματα.txt τα δημιουργώ;
αφορά
Αυτό δεν γίνεται, καθώς ο κωδικός πρόσβασης αποθηκεύεται στο bash_history ως απλό κείμενο, εκτός από αυτό θα μπορούσε να βρεθεί με άλλο τρόπο. Έτσι ώστε να μην σας ζητάει τον κωδικό πρόσβασής σας, ο σωστός τρόπος είναι με "δημόσια και ιδιωτικά κλειδιά".
Χρησιμοποιώ το RSA για να συνδέομαι με τους διακομιστές μου εξ αποστάσεως, παρόλο που πιστεύω ότι για να συνδεθώ σε έναν υπολογιστή όπου δεν χρειαζόμαστε τόσο ισχυρή ασφάλεια είναι ένα καλό εργαλείο, ευχαριστώ για τη συμβουλή!
Τσιουούου
Και γιατί δεν δημοσιεύω τον κωδικό πρόσβασής μου ώστε να είναι διαθέσιμος σε κανέναν;
Εξαιρετικό τόσο καλό !!!!!! και στα Ισπανικά.
Εξαιρετικό άρθρο, όπως πάντα οι άνθρωποι παραπονιούνται αντί να ευχαριστούν, αν και η μέθοδος είναι ανασφαλής εξαρτάται από το πού και πώς τη χρησιμοποιείτε, σας ευχαριστώ πολύ 🙂