L'autenticazione basata su certificato è davvero migliore dell'autenticazione tramite password in OpenSSH?

0

Recentemente mi sono messo in contatto con un VPS e l'ho reso più difficile dalla mia conoscenza limitata!

Stavo configurando OpenSSH per utilizzare l'autenticazione basata su certificato quando qualcosa non andava bene per me. Questo potrebbe benissimo essere privo di un'opzione di configurazione lungo il percorso, ma in caso contrario, è sicuramente piuttosto preoccupante:

Quando aggiungevo una chiave all'host remoto, ho usato qualcosa simile a ssh-copy-id username@remote-host per copiarlo lì. Facendo questo, mi ha richiesto la password per username @ remote-host, che ho debitamente fornito.

Quando sono entrato al lavoro il giorno dopo, ho fatto lo stesso con una macchina in funzione, solo per fungere da failsafe e quindi disattivare l'autenticazione della password. Tuttavia, da una terza macchina, ero ancora in grado di caricare una chiave pur avendo solo bisogno di conoscere il nome utente e la password.

Se questo è il modo in cui funziona, sicuramente un utente malintenzionato dovrà solo compromettere la password, anche se l'autenticazione basata su cert è abilitata, negando così il suo utilizzo?!

Mi manca qualcosa, giusto?

(Non preoccuparti, ho due fattori impostati sul mio VPS utilizzando Google Authenticator ora!)

    
posta Richard 20.11.2014 - 17:40
fonte

2 risposte

1

Assicurati che /etc/sshd_config contenga la seguente riga:

PasswordAuthentication no

Probabilmente hai commentato quella linea, che ti consente di tornare all'autenticazione della password. Assicurati di riavviare sshd dopo aver modificato la configurazione.

Se si desidera installare una chiave da un nuovo computer, è possibile commentare temporaneamente tale linea, installare la chiave dopo l'autenticazione con la password e quindi disabilitare nuovamente l'autenticazione della password.

Raccomando anche di disabilitare il login root:

PermitRootLogin no

(Se permetti solo l'autenticazione a chiave pubblica, questo non avrà importanza se l'utente root non ha un file ~/.ssh/authorized_keys , ma è comunque buono avere nel caso in cui cambi la tua configurazione in seguito.)

    
risposta data 20.11.2014 - 18:20
fonte
0

È sempre possibile connettersi con nome utente e password. La pressione di un tasto non impedisce il funzionamento della password; la chiave offre un metodo aggiuntivo per aprire una sessione sul server di destinazione.

Se desideri "disattivare" l'autenticazione basata su password, puoi sostituire la tua password con un'enorme scelta casuale che non ricordi.

    
risposta data 20.11.2014 - 18:05
fonte

Leggi altre domande sui tag