É realmente seguro conectar-se a um servidor usando SSH de hotéis durante uma viagem?
Servidor :
- CentOS 7
- Autorização apenas por chave RSA - Autenticação de senha negada
- Porta não padrão
Estação de trabalho :
- Ubuntu 14
- senha do usuário
- senha para usar a chave RSA (método padrão)
Talvez seja uma boa ideia manter metade da chave RSA privada em um pendrive e adicionar automaticamente (por script) essa metade a ~ / .ssh / private_key antes de conectar?
A Internet será feita através de WIFI em hotéis ou por cabo em um apartamento alugado.
UPD
Desculpe por não estar claro a princípio. Quero dizer segurança em dois aspectos aqui:
- Segurança apenas da conexão SSH através de uma rede não confiável.
- Segurança de um computador com a chave necessária para a conexão SSH - se for roubada, como proteger o servidor ...
security
physical-security
Sergey Serov
fonte
fonte
Respostas:
Portanto, sobre como fazer uma conexão ssh por uma conexão explicitamente não confiável.
Supondo que você já tenha uma entrada ~ / .ssh / known_hosts de uma conexão anterior, sim, você poderá se conectar sem se preocupar com o que a rede é segura ou não. O mesmo acontece se você tiver outros meios de verificar a chave do host ssh.
Se você nunca se conectou ao servidor antes, nem possui outra maneira de verificar a chave do host ssh, convém ter mais cuidado com a rede que usa para se conectar.
fonte
Na segunda parte da sua pergunta, você parece estar preocupado com o roubo de seu notebook e, com ele, suas chaves privadas para o login SSH sem senha nos servidores.
Observe que isso pode ser facilmente resolvido (o problema das chaves privadas) armazenando chaves privadas "criptografadas" com uma "frase secreta": elas podem ser criptografadas inicialmente, enquanto geradas com o utilitário ssh-keygen , fornecendo uma frase secreta no final de o processo de geração ou, se você já os tiver sem script, usando o utilitário ssh-keygen com a
-p
opção Depois que a chave é criptografada, a cada login, você é solicitado a inserir a senha relacionada e .... se estiver correto, tudo continuará normalmente.Além disso, se você não quiser inserir a senha sempre que iniciar o cliente ssh, poderá usar o ssh-agent : ele pode rastrear, na memória, chaves privadas não criptografadas. Você pode simplesmente executar o ssh-add apontando para o arquivo que contém a chave criptografada e, após solicitar a senha, a chave é adicionada ao conjunto gerenciado pelo ssh-agent. Depois, sempre que o cliente SSH exigir uma chave protegida por senha, o agente ssh fornecerá de forma transparente a chave privada não criptografada relacionada ao cliente ssh. Portanto, para você, não é necessário inseri-lo interativamente.
Observe que o ssh-agent pode gerenciar muitas chaves e, obviamente, você pode "ajustar" seu notebook / desktop para iniciar o
ssh-add
utilitário (para preencher o conjunto de chaves do ssh-agent) no momento do login / inicialização.Além disso, se alguém roubar seu laptop, suas chaves privadas provavelmente não são o único conteúdo "sensível" que você distribuirá: observe que, com as distribuições atuais de desktops Linux, é MUITO fácil configurar um notebook usando "criptografado" "sistema de arquivos (o
/home
inicial, mas o todo,/
se necessário). Então, por favor, considere isso também.Todas as opções acima, obviamente, NÃO se aplicam se você não confiar no seu próprio notebook.
PS: quanto à sua possibilidade de armazenar as duas metades da chave privada não criptografada em diferentes mídias: eu fortemente recomendo não para fazer isso, como manter os dois pedaços de conteúdo sensível de uma forma não criptografada é muito, muito pior, do que manter dois cópias completas de todo o conteúdo, criptografadas!
fonte
A primeira parte da sua pergunta já foi respondida pela resposta anterior. De acordo com sua segunda parte, recomendo adicionar um segundo fator ao seu login ssh usando pam_google_authenticator. É bastante fácil de instalar e configurar em qualquer distro. No caso em que a chave privada que você carrega é roubada, eles não podem fazer login no servidor sem a senha única do TOTP do google-authenticator.
https://www.howtoforge.com/tutorial/secure-ssh-with-google-authenticator-on-centos-7
fonte