לאלו מאיתנו המשתמשים ב- SSHכלומר, אלה מאיתנו הזקוקים לגישה מתמדת למחשבים או לשרתים מרוחקים ביומיום שלנו מגיעים עד כדי כך שנמאס להם מהקלדת סיסמאות, זה יהיה:
- הזן מסוף: ssh user @ server
- המתן מספר שניות
- השרת אליו אנו רוצים להתחבר יבקש את הסיסמה
- לאחר שנשים את הסיסמה ולחץ על [Enter] ואז ניגש לשרת המרוחק
ועכשיו השאלה שלי, האם לא פשוט יותר להקליד?:
sshpass -p «PASSWORD» ssh root@servidor
לדוגמה, נניח שהמשתמש הוא שורש, השרת הוא: dev.desdelinuxNET. והסיסמה היא xunil ... אז השורה תהיה:
sshpass -p xunil ssh root@dev.desdelinux.net
כדי להשיג זאת עלינו פשוט להתקין את החבילה sshpassב דביאן / אובונטו או נגזרות יהיו עם sudo apt-get התקן sshpass בנתיים ב ArchLinux או נגזרות יספיקו עם סודו פקמן -S sshpass
אם אנו רוצים לציין את היציאה (מכיוון ש- SSH אינו נמצא ביציאה 22) אנחנו מוסיפים -p «PORT» ... כלומר, בהנחה שזה יציאה 9122:
sshpass -p xunil ssh root@dev.desdelinux.net -p 9122
כדי לפשט את כל זה עוד יותר אנחנו יכולים ליצור כינוייםלדוגמא, בעת ביצוע server1, השורה כולה מבוצעת כדי להתחבר באמצעות SSH לשרת 1 (sshpass -p סיסמה user @ server1) או משהו דומה, לכן אנו גם חוסכים לשים שורה ארוכה מדי 😉
בכל מקרה, אני מקווה שזה הועיל לך.
אגב, דרך נוספת להימנע מצורך לכתוב את הסיסמה כשאנחנו ניגשים באמצעות SSH היא באמצעות מפתחות ציבוריים ופרטיים.
לגבי
אני מתנצל אבל זו סטייה ביטחונית איומה !! הסיסמה תקועה בסקריפטים, קבצי טקסט רגיל, היסטוריית bash וכו '.
לשם כך, openssh תומך באימות מפתח ציבורי באמצעות RSA.
הודות לסוג זה של תרגול (המיושם על ידי נבדקים המכנים עצמם "מנהלים") יש כל כך הרבה חוסר ביטחון מחשב.
ברכות.
בוא נראה. כן, זוהי בעיית אבטחה אך אין פירושה ש"נבדקים "שהם מנהלים או שלא צריכים להשתמש בשיטה זו. השיטה קיימת ומוצגת למקרה שיש להשתמש בה בסביבה בה אבטחה אינה בעיה. בחנות מוכרים לך את הסכין, אתה מחליט אם אתה משתמש בה כדי לחתוך ירקות או להרוג מישהו.
אני מבין את עמדתך, אך צר לי שבבלוג בעל שם שכזה הם מקדמים פרקטיקה מסוג זה, זה כמעט כמו "התנצלות על ניהול המערכת הנורא".
חיבוק!!
אני עדיין לא מבין מה הבעיה 🙁
מכיוון שדיברנו גם על "איך להשיג יותר ביטחון" בהיבטים שונים, אנחנו יכולים גם לדבר על נושאים אחרים "פחות בטוחים". המטרה שלנו היא להציע את המידע, עליכם לדעת מה לעשות איתו. בנוסף, מחבר ההודעה הכי פרנואידית עם אבטחה לא יכול להיות, תאמין לי, בכל הנוגע לניהול מערכת, הוא לא עושה דברים מסוג זה.
ברכות 😉
ראשית, כשאמרתי 'מיושם על ידי נושאים שקוראים לעצמם "מנהלים", לא התייחסתי למחבר המאמר בשום עת, אני לא מבין מדוע הם כל כך רגישים.
הבעיה, מנקודת מבטי, היא שכלי זה מנוגד לכל נוהלי אבטחה טובים. אני מאמין שמקהילת GNU / Linux עלינו לשמור על מערכת ההפעלה היקרה שלנו ככל האפשר. כלומר, לא הייתי רוצה לראות את GNU / Linux הופכים ל- Windows (מבחינה אבטחה).
למרבה הצער ישנם מנהלי טירונים רבים שאינם יודעים את הדרך הנכונה לעשות דברים, ובסופו של דבר משתמשים בכלים אלה במערכות קריטיות.
כמובן שיש לך את הזכות לפרסם כל מה שתרצה, אבל אני חוזר ואומר, עצוב לי שהבלוג הזה (אחד הבלוגים החשובים ביותר דוברי ספרדית) מפנה את מקומו לכלים המאיימים על הביטחון.
ברכות!
ותן לחואנה עם האגן. בדיוק מכיוון שמדובר בבלוג עזר, אנו רוצים לספק כל מיני מידע. אני מבין את זה:
משתמש מגיע ושואל: כיצד אוכל להתחבר לשרת באמצעות SSH מבלי לבקש את הסיסמה?
הם עונים לו בכל פורום: נו, זו בעיה ביטחונית, אף אחד לא עושה את זה.
אפילו לדעת, המשתמש לא אומר לו מדוע מדובר בבעיית אבטחה. רע, רע מאוד, טוב שאתה יודע לעשות דברים, בגלל זה פנימה Desdelinux:
משתמש מגיע ושואל: כיצד אוכל להתחבר לשרת באמצעות SSH מבלי לבקש את הסיסמה?
אנו כותבים פוסט ואומרים: אתה יכול להשתמש בשיטה זו, זה עובד ככה אבל זה לא בטוח. הדבר הבטוח ביותר הוא להשתמש בזה אחר.
איזה מהם עדיף לדעתך?
אוקיי, אני מכבד את היציבה שלך. כל טוב!!
SSHPass למעשה לא מאיים על האבטחה, מי שמאיים על האבטחה בכל מקרה הוא המשתמש שעושה שימוש לרעה בה.
לדוגמא, הנה דוגמה מצוינת לכך ש- SSHPass אינו משמש רק למה שאני מגיב בפוסט, הוא יכול לשמש לפיצוח (למשל) של OpenSSH-Server: http://paste.desdelinux.net/4810
היישום הוא לא יותר מכך, יישום, השימוש שניתן הוא זה שיגרום לכשלים שפוגעים באבטחה או לא.
לגבי עצבים או רגישים, בכלל, אולי זו הדרך בה אמרת את זה (או שקריאה מקשה על ההבנה הנכונה) אבל פירשתי שהתגובה הופנתה אלי, אם לא, אני מתנצל.
נ.ב: בוודאי יהיו כמה שימצאו את התסריט ששמתי LOL מעניין ואפילו מצחיק!
אוקי, אני שמח שהגענו להסכם. לחיים !!
האם אמרתי פעם ששיטה זו בטוחה יותר משימוש במפתחות ציבוריים ופרטיים?
במאמר אחר כבר שיתפתי כיצד להשתמש בהם [1], עכשיו אני פשוט מסביר דרך אחרת להשיג את אותו הדבר או משהו דומה.
כולם משתמשים בזה שמתאים להם ביותר, בזה שהוא מעדיף. כאן פשוט הסברתי את אחד השימושים שניתן לתת ל- sshpass, אחר יכול להיות באמצעות סקריפט של Bash לפיצוח SSH באמצעות שימוש במילון ... אבל יאללה, זה רק עוד שימוש.
אני חוזר ואומר, אני משתף רק את הידע שלי שקשור ל- GNU / Linux. SSHPass לא יכול להיות הבחירה האידיאלית לשום מקרה, אך יש לו שימוש, אל תהססו.
BTW, הכוונה ל: (מיושם על ידי נושאים שקוראים לעצמם "מנהלים") ... אה ... אה ... אה ... אני מעדיף לא להגיב, אין לי מה להוכיח לאף אחד, שלא לדבר על כך שלך חבר שלי, אין לך את הרעיון הכי מרוחק מי אני, הרבה פחות ממה שאני יודע 😉
[1] https://blog.desdelinux.net/ssh-sin-password-solo-3-pasos/
אל תהיה עצבני, קורה שבתחום שלי אני מכיר אנשים שמבססים את עבודתם בגוגל וכאשר הם פותרים בעיות הם מעתיקים ומדביקים דברים מסוג זה. ואז מנהל האבטחה הוא זה ש"מכניס את הגלגלים לגלגל "כשהוא מגלה חריגות מסוג זה. לחיים !!
תירגע גבר, זה לא שווה את זה 😉
בטח, אבל אז הסיסמה רשומה בפקודות המשמשות. מטעמי ביטחון, אסור לעשות זאת ...
זה מה שחשבתי כשקראתי את הפוסט
הוספה זו ל- .bashrc שלנו לא תשמור את הפקודות הקשורות ל- sshpass:
HISTIGNORE='sshpass *'אני אעשה פוסט על איך להתעלם מפקודות כדי שלא יישמרו בהיסטוריה bash בקרוב :)
דרך נוספת לפקודות שלא להישמר היא להציב רווח תמיד לפני הפקודה. ^ __ ^
אני חושב שיותר בטוח להשתמש במקשים להתחברות דרך SSH מבלי להזין את הסיסמה.
מצד שני, יצירת כינוי פקודה מלא שבו נשמרת הסיסמה יכולה להיות בעיית אבטחה.
אם נראה לי כישלון באבטחת המחשבים, אך אנו הולכים כי הפיכתם לא שמורים בהיסטוריה הבאסית היא לא כל כך הבעיה שאנו עושים (למעט כינוי שיהיה גרפאל), גם כפי שאלאב אומר ב חנות תמכור לנו את הסכין אנחנו אלה שנראה במה להשתמש בה
מעניין, אבל עדיף שאשתמש במפתח הציבורי והפרטי שהצגת בערך אחר.
@ KZKG
אני חושב שזה יותר פרקטי - ובטוח! - השתמש במקשי RSA / ECDSA יחד עם מחזיק מפתחות (סוכן SSH) לאימות אוטומטי.
במקרה שלי, אני משתמש במחזיק מפתחות SSH ל- Keychain, שפותח על ידי האנשים ב- Funtoo, שעובד טוב מאוד, משתמש במעט מאוד משאבים ומאובטח מאוד:
http://www.funtoo.org/Keychain
לדוגמה:
j:0 ~ > AliasSearch ssh
# SSH management
alias SSHCOPYIDecdsa='ssh-copy-id -i ~/.ssh/id_ecdsa.pub'
alias SSHCOPYIDrsa='ssh-copy-id -i ~/.ssh/id_rsa.pub'
alias SSHKEYGENecdsa='ssh-keygen -t ecdsa -b 521 -C "$(whoami)@$(hostname)-$(date -I)"'
alias SSHKEYGENrsa='ssh-keygen -t rsa -b 4096 -C "$(whoami)@$(hostname)-$(date -I)"'
איך להישתמש:
SSHKEYGEN {ecdsa, rsa}
SSHCOPYID {ecdsa, rsa} user @ {server, ip}
# SSH servers
alias SERVER1mosh='eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa) && mosh -p # usr1@server1'
alias SERVER1='eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa) && ssh -v -p # usr1@server1.local'
alias SERVER101='eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa) && ssh -v -p # usr1@[direc. ip].101'
Donde:
-p #: יציאה
usr1 @ server1: user @ AVAHI server
usr1@server1.local: שרת user @ AVAHI (תלוי באופן הגדרת השרת במערכות מסוימות יש צורך להוסיף את הסיומת .local)
usr1 @ [addr. ip] .101: כתובת ip קבועה.
/ etc / ssh / sshd_config: http://paste.chakra-project.org/4974/
~ / .ssh / config: http://paste.chakra-project.org/4975/
מערכת הפעלה: Arch Linux / Chakra
אני מקווה שזה ישרת אתכם, ברכות!
למעשה אני משתמש במפתחות, לא ב- SSHPass כדי לגשת לשרתים שלי ... גיליתי את SSHPass כשהייתי צריך דרך לעשות את התסריט הזה: http://paste.desdelinux.net/4810
אבל ... ובכן, רציתי לשתף את SSHPass עם כולם, אבל ברור שלא יכולתי להכניס כאן סקריפט שמאפשר שימוש במילון כדי לנסות להפר את OpenSSH-Server HAHAHA!
«[...] לא יכולתי לשים כאן סקריפט המאפשר שימוש במילון כדי לנסות להפר את OpenSSH-Server HAHAHA!"
אבל למה לא!!?
האם פריצה ופיצוח אינם חלק מלימוד נוהלי אבטחה טובים [0]!?
אנא גבר, קדימה !!!
[0] האם זה לא יפה להשתמש במילים כדי להגדיר בדיוק את ההפך ממה שהם מתכוונים פשוטו כמשמעו!? פרצו את הבלשנות !!! ;-D
היי, אני מקבל את השגיאה הזו:
היא בודקת סיסמאות עד 192.168.20.11 ביציאה 22 עם משתמש השורש
cat: con-letters.txt: אין קובץ או ספרייה כאלה
את הקובץ עם letters.txt אני יוצר אותם?
דרישת שלום
זה לא נעשה, מכיוון שהסיסמה מאוחסנת ב- bash_history כטקסט רגיל, מלבד זאת ניתן היה לגלות אותה בדרך אחרת. כך ש- ssh לא יבקש ממך סיסמה, הדרך הנכונה היא עם "מפתחות ציבוריים ופרטיים".
אני משתמש ב- RSA כדי להתחבר לשרתים שלי מרחוק, למרות זאת אני חושב שכדי להתחבר לאיזה מחשב שבו איננו זקוקים לאבטחה כה חזקה זה כלי טוב, תודה על הטיפ!
צ'יואו
ולמה מוטב שלא לפרסם את הסיסמה שלי כך שהיא תהיה זמינה לכל אחד?
מצוין כל כך טוב !!!!!! ובספרדית.
מאמר מצוין, כמו תמיד אנשים מתלוננים במקום להודות, למרות שהשיטה לא בטוחה זה תלוי איפה ואיך משתמשים בה, תודה רבה 🙂