Il comando ssh-copy-id è sicuro?

3

Ho 2 server Ubuntu 14.04 con openssh-server installato su entrambi. Ho impostato l'autenticazione basata su chiave utilizzando chiavi RSA, senza passphrase, in modo da poter eseguire script di backup automatici, su un sito remoto, con rsync.

Normalmente faccio lo scambio di chiavi su una rete LAN, mentre il login basato su password è ancora abilitato, quindi disabilito la password solo ssh, prima di portare il server remoto nella sua posizione fuori dal sito. Così ogni utente accede tramite le chiavi con passphrase e gli script automatici usano le chiavi senza passphrase.

Per condividere le chiavi, utilizzo il comando ssh-copy-id .

Tutti i comandi per il sito esterno utilizzano una porta non standard elevata sul modem / router esterno, inoltrata al router sulla sottorete, che quindi indirizza gli indirizzi NAT alla porta 22 standard sul server remoto.

Se volessi aggiungere una nuova chiave utente, potrei usare un utente corrente per abilitare il login con password, che renderebbe possibile usare ssh-copy-id (poiché richiede la password dell'utente. Dopo aver usato ssh-copy-id per impostare su ssh basato su chiave, disabiliterò il login basato su password in seguito.

C'è qualche rischio nell'usare ssh-copy-id su una connessione internet?

    
posta Arronical 24.11.2015 - 17:36
fonte

1 risposta

3

Come sottolineato nei commenti, non vi è alcun altro rischio quindi di utilizzare% normalessh con password.

Ciò significa che dal client è necessario passare attraverso il controllo comune di hostkey o impronta digitale e quindi tutto (password, chiavi e tutte le comunicazioni) è crittografato.

Puoi anche dare un'occhiata a ssh-copy-id , dal momento che è solo un semplice script di shell che esegue la "magia", che consiste di login basato su password, copia la tua chiave lì, imposta le autorizzazioni corrette. Come aggiunta, sta tentando di assicurarsi che la chiave sia stata copiata correttamente e funzioni correttamente per l'autenticazione pubkey.

    
risposta data 24.11.2015 - 23:12
fonte

Leggi altre domande sui tag