|
|
 | Nøgle så man ikke behøver password?
Fra : Camilla Krag Jensen |
Dato : 28-01-04 17:23 |
|
Hej!
Jeg er lige begyndt at bruge Linux hjemme. Der er en SSHserver på min
skole som jeg bruger ret ofte. Er der ikke noget med at man kan generere
n slags nøgle så jeg ikke behøver et password til ssh og scp når jeg
sidder hjemme?
Og hvordan er det lige man gør?
 Camilla
| |
 Esben Laursen (28-01-2004)
| Kommentar
Fra : Esben Laursen |
Dato : 28-01-04 17:45 |
|
"Camilla Krag Jensen" <camillaHATES_SPAM@xoc.dk> skrev i en meddelelse
news:pan.2004.01.28.16.23.05.274907@xoc.dk...
> Hej!
> Jeg er lige begyndt at bruge Linux hjemme. Der er en SSHserver på min
> skole som jeg bruger ret ofte. Er der ikke noget med at man kan generere
> n slags nøgle så jeg ikke behøver et password til ssh og scp når jeg
> sidder hjemme?
>
> Og hvordan er det lige man gør?
>
Her er en guide en af mine venner har lavet:
http://www.cs.auc.dk/~viper/LINUX_NOTES/sshpublickey.html
Hygge
Esben
| |
Max Andersen (28-01-2004)
| Kommentar
Fra : Max Andersen |
Dato : 28-01-04 22:03 |
|
"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> skrev i en meddelelse
news:YFRRb.2805$Yg2.1855@news.get2net.dk...
>
> "Camilla Krag Jensen" <camillaHATES_SPAM@xoc.dk> skrev i en meddelelse
> news:pan.2004.01.28.16.23.05.274907@xoc.dk...
> > Hej!
> > Jeg er lige begyndt at bruge Linux hjemme. Der er en SSHserver på min
> > skole som jeg bruger ret ofte. Er der ikke noget med at man kan
generere
> > n slags nøgle så jeg ikke behøver et password til ssh og scp når jeg
> > sidder hjemme?
> >
> > Og hvordan er det lige man gør?
> >
Og kan man bruge en digital signatur fra TDC istedet?
Max
| |
 Kristian Thy (28-01-2004)
| Kommentar
Fra : Kristian Thy |
Dato : 28-01-04 22:21 |
|
Max Andersen uttered:
> Og kan man bruge en digital signatur fra TDC istedet?
Til at logge ind med ssh? Nej.
\\kristian
--
I am in shape. ROUND is a shape.
| |
Stig H. Jacobsen (29-01-2004)
| Kommentar
Fra : Stig H. Jacobsen |
Dato : 29-01-04 02:35 |
|
On Wed, 28 Jan 2004 22:03:09 +0100, Max Andersen wrote:
[ssh auth]
> Og kan man bruge en digital signatur fra TDC istedet?
Den duer vist bedst til slutbrugere, som bruger Windows.
(:s/^Den/TDC/)
--
Stig
E-mail: shj@...
| |
Peter Mogensen (29-01-2004)
| Kommentar
Fra : Peter Mogensen |
Dato : 29-01-04 08:56 |
|
Stig H. Jacobsen wrote:
> On Wed, 28 Jan 2004 22:03:09 +0100, Max Andersen wrote:
>
> [ssh auth]
>
>>Og kan man bruge en digital signatur fra TDC istedet?
>
>
> Den duer vist bedst til slutbrugere, som bruger Windows.
Den digitale signatur virker ganske fint cross-platform. Der er godtnok
et problem med certifikater med danske bogstaver i Mozilla, men det er
en bug i Mozilla.
Man kan sikkert teoretisk set godt anvende den samme nøgle med SSH, men
det kræver nok noget nøgle-konvertering og sålænge det er sine egne
servere man forbinder til, så kan jeg ikke se pointen.
| |
Camilla Krag Jensen (29-01-2004)
| Kommentar
Fra : Camilla Krag Jensen |
Dato : 29-01-04 00:50 |
| | |
Klaus Alexander Seis~ (29-01-2004)
| Kommentar
Fra : Klaus Alexander Seis~ |
Dato : 29-01-04 07:58 |
| | |
Jesper Louis Anderse~ (30-01-2004)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 30-01-04 15:12 |
|
On Thu, 29 Jan 2004 06:58:10 +0000 (UTC),
Klaus Alexander Seistrup <klaus@seistrup.dk> wrote:
> Jeg kan anbefale at benytte keychain¹ i forbindelse med ssh; så
> behøver man kun at indtaste sin adgangskode én gang pr. genstart.
Har du overvejet om keychain i _den_ grad nedsaetter sikkerheden ved
noeglerne? ssh-add -D er ogsaa interessant hvis du til tider gaar
fra din terminal.
http://mongers.org/ssh - er ogsaa god information i den forbindelse.
--
Jesper
| |
Martin Jørgensen (29-01-2004)
| Kommentar
Fra : Martin Jørgensen |
Dato : 29-01-04 15:53 |
|
Camilla Krag Jensen wrote:
-SNIP-
>> Her er en guide en af mine venner har lavet:
>>
>> http://www.cs.auc.dk/~viper/LINUX_NOTES/sshpublickey.html
>>
> Det var jo ikke svært. Tak! Så slipper jeg for at ringe til kundeservice
> hos TDC 
Enig... Det er faktisk totalt fedt
Nu har jeg lavet en ssh-key-fætter og uploaded den til min skole så jeg ikke
behøver at taste password ind. .ssh-biblioteket er drwx------ og derudover
ser ll i .ssh-biblioteket ud som følger:
-rw------- 1 sajkdlf asflkjd 611 Jan 29 15:49 authorized_keys
Er der nogen sikkerhedsproblemer i at jeg nu ikke skal taste password ind
hjemmefra, når jeg logger ind på min skole? Syntes det virker lidt
underligt at skulle slippe for det
mvh.
Martin Jørgensen
--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk
| |
Thomas Rasmussen (29-01-2004)
| Kommentar
Fra : Thomas Rasmussen |
Dato : 29-01-04 16:02 |
|
Martin Jørgensen <unoder(spam-protected)@(remove-these)jay.net> writes:
> Er der nogen sikkerhedsproblemer i at jeg nu ikke skal taste password ind
> hjemmefra, når jeg logger ind på min skole? Syntes det virker lidt
> underligt at skulle slippe for det
Der er et problem: Du skal altid altid altid huske at låse din
arb. station hvis andre har bare en fjern mulighed for at overtage den
hvis du ikke sidder ved tastaturet. Desuden er det et stort problem
hvis du vælger ikke at have nogen passphrase, da hvis din maskine
bliver overtaget eller din private-key bliver opsnappet, så kan andre
få adgang med din user.
Ellers er ssh-keys dejlige hvis man ofte har behov for at skøjte frem
og tilbage mellem maskiner/servere/workstations via ssh.
Brugte det selv meget da jeg gik på uni, nu bruger jeg det ikke så
meget mere, da jeg ikke har det store ssh behov.
Mvh
Thomas
--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)
| |
Martin Jørgensen (30-01-2004)
| Kommentar
Fra : Martin Jørgensen |
Dato : 30-01-04 14:09 |
|
Thomas Rasmussen wrote:
> Martin Jørgensen <unoder(spam-protected)@(remove-these)jay.net> writes:
>
>> Er der nogen sikkerhedsproblemer i at jeg nu ikke skal taste password ind
>> hjemmefra, når jeg logger ind på min skole? Syntes det virker lidt
>> underligt at skulle slippe for det
>
> Der er et problem: Du skal altid altid altid huske at låse din
> arb. station hvis andre har bare en fjern mulighed for at overtage den
> hvis du ikke sidder ved tastaturet. Desuden er det et stort problem
> hvis du vælger ikke at have nogen passphrase, da hvis din maskine
> bliver overtaget eller din private-key bliver opsnappet, så kan andre
> få adgang med din user.
Ok, de har ikke adgang til min computer rent fysisk idet det er en privat
computer som står i mit private kollegie-værelse hvor ikke andre har
adgang.
Men hvor stor er chancen for at andre overtager computeren med en orm,
sniffer eller lignende? Den er vel så lille at jeg tror godt at jeg så kan
fortsætte uden passphrase, medmindre i andre skriver noget andet...
Jeg er jo relativ ny til linux...
mvh.
Martin Jørgensen
(snip-resten)
--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk
| |
Thomas Rasmussen (30-01-2004)
| Kommentar
Fra : Thomas Rasmussen |
Dato : 30-01-04 14:25 |
|
Martin Jørgensen <unoder(spam-protected)@(remove-these)jay.net> writes:
> Ok, de har ikke adgang til min computer rent fysisk idet det er en privat
> computer som står i mit private kollegie-værelse hvor ikke andre har
> adgang.
>
> Men hvor stor er chancen for at andre overtager computeren med en orm,
> sniffer eller lignende? Den er vel så lille at jeg tror godt at jeg så kan
> fortsætte uden passphrase, medmindre i andre skriver noget andet...
Jeg er af den overbevisning at du ligeså godt kan vælge at køre med
passphrase selvom risikoen er meget lille, det er en god vane at have,
så den dag du ligepludselig ikke længere har en "sikker"
arbejdsstation. Rent teoretisk kan din maskine jo blive hacket
pga. bugs eller lign. i et eller flere programmer. Selvfølgelig er det
en lille risiko.
Det er jo heller ikke så svært lige at vænne sig til at køre en
ssh-add når du logger på din maskine?
/Thomas
--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)
| |
Martin Jørgensen (30-01-2004)
| Kommentar
Fra : Martin Jørgensen |
Dato : 30-01-04 15:21 |
|
Thomas Rasmussen wrote:
-SNIP-
> Jeg er af den overbevisning at du ligeså godt kan vælge at køre med
> passphrase selvom risikoen er meget lille, det er en god vane at have,
> så den dag du ligepludselig ikke længere har en "sikker"
> arbejdsstation. Rent teoretisk kan din maskine jo blive hacket
> pga. bugs eller lign. i et eller flere programmer. Selvfølgelig er det
> en lille risiko.
Ok, jeg skal (gen)overveje det men er bare temmelig træt af at skrive
passwords ind hele tiden. Jeg skal i forvejen taste to passwords ind bare
for at logge ind på min linux-computer (ét ved boot, ét ved login) og kan
indimellem logge ind på min skole et par gange dagligt...
> Det er jo heller ikke så svært lige at vænne sig til at køre en
> ssh-add når du logger på din maskine?
Lavede lige en "man ssh-add" men jeg forstod det ikke helt. Den skal vel
køres på remote-computeren, men hvori ligger forskellen mellem det jeg nu
har lavet ved manuelt at kopiere id_dsa.pub filen over til
remotehost:authorized_keys, samt at lave chmod på .ssh samt authorized_keys
filen? Det er måske det samme?
mvh.
Martin Jørgensen
--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk
| |
Thomas Rasmussen (31-01-2004)
| Kommentar
Fra : Thomas Rasmussen |
Dato : 31-01-04 18:02 |
|
Martin Jørgensen <unoder(spam-protected)@(remove-these)jay.net> writes:
> Lavede lige en "man ssh-add" men jeg forstod det ikke helt. Den skal vel
> køres på remote-computeren, men hvori ligger forskellen mellem det jeg nu
> har lavet ved manuelt at kopiere id_dsa.pub filen over til
> remotehost:authorized_keys, samt at lave chmod på .ssh samt authorized_keys
> filen? Det er måske det samme?
OK, hvis du ikke kender til ssh-add så er du gået glip af den helt
store seje feature ved ssh-keys, nemlig at man fx. ved login til X har
en ssh-agent wrappet rundt om sin normale dekstop environment. Fx. så
har jeg ssh-agent gnome-session stående i min .xinitrc, så når jeg er
logget ind i X har jeg en agent kørende som jeg kan tilknytte min
nøgle til med en ssh-add, når du har lavet denne ssh-add og tampet
passphrase ind een gang, så skal du ikke længere tampe
password/passphrase ind til de hosts hvor du har ssh-keys'ne
liggende. Jeg har ikke lige kigget så meget på de vejledninger der har
været postet, men er der ikke een af dem der forklarer hvorfor
ssh-agent samt ssh-add er smart?
/Thomas
--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)
| |
Martin Johansen [600~ (30-01-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 30-01-04 22:31 |
|
On Fri, 30 Jan 2004 14:08:41 +0100, Martin Jørgensen wrote:
> Men hvor stor er chancen for at andre overtager computeren med en orm,
> sniffer eller lignende? Den er vel så lille at jeg tror godt at jeg så kan
> fortsætte uden passphrase, medmindre i andre skriver noget andet...
Men hvis man skal skrive passphrase hvad er så ideen med en nøgle?? Det
"fede" er vel at man ikke behøver at skrive noget overhovedet ud over
'ssh host' ...
Passphrase er jo bare et andet password så, og så kan man lige så godt
undvære en nøgle helt og så bare bruge sit normale password...
Eller har jeg misforstået noget helt essentielt?
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (31-01-2004)
| Kommentar
Fra : Kent Friis |
Dato : 31-01-04 01:24 |
|
Den Fri, 30 Jan 2004 22:30:59 +0100 skrev Martin Johansen [6000]:
>On Fri, 30 Jan 2004 14:08:41 +0100, Martin Jørgensen wrote:
>
>> Men hvor stor er chancen for at andre overtager computeren med en orm,
>> sniffer eller lignende? Den er vel så lille at jeg tror godt at jeg så kan
>> fortsætte uden passphrase, medmindre i andre skriver noget andet...
>
>Men hvis man skal skrive passphrase hvad er så ideen med en nøgle?? Det
>"fede" er vel at man ikke behøver at skrive noget overhovedet ud over
>'ssh host' ...
>
>Passphrase er jo bare et andet password så, og så kan man lige så godt
>undvære en nøgle helt og så bare bruge sit normale password...
>
>Eller har jeg misforstået noget helt essentielt?
Forskellen er at passphrase checkes på den lokale PC, den bliver
aldrig sendt videre til nogen remote maskiner. Password auth
videresender passwordet til den maskine man er ved at logge ind på.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (31-01-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 31-01-04 18:05 |
|
On Sat, 31 Jan 2004 00:24:16 +0000, Kent Friis wrote:
> Forskellen er at passphrase checkes på den lokale PC, den bliver
> aldrig sendt videre til nogen remote maskiner. Password auth
> videresender passwordet til den maskine man er ved at logge ind på.
Men hvad forskel gør det for dig og mig? Vi skal jo stadig indtaste noget
og idéen er ligesom gået fløjten som jeg ser det...
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (31-01-2004)
| Kommentar
Fra : Kent Friis |
Dato : 31-01-04 21:54 |
|
Den Sat, 31 Jan 2004 18:04:57 +0100 skrev Martin Johansen [6000]:
>On Sat, 31 Jan 2004 00:24:16 +0000, Kent Friis wrote:
>
>> Forskellen er at passphrase checkes på den lokale PC, den bliver
>> aldrig sendt videre til nogen remote maskiner. Password auth
>> videresender passwordet til den maskine man er ved at logge ind på.
>
>Men hvad forskel gør det for dig og mig? Vi skal jo stadig indtaste noget
>og idéen er ligesom gået fløjten som jeg ser det...
At den dag man kommer til at connecte til en forkert maskine, og
indtaster sit password, så sidder ejeren af den forkerte maskine
og nyder dagens fangst.
Det sker ikke med en passphrase, fordi den aldrig kommer i nærheden af
den forkerte maskine.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (01-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 01-02-04 14:55 |
|
On Sat, 31 Jan 2004 20:54:28 +0000, Kent Friis wrote:
> At den dag man kommer til at connecte til en forkert maskine, og
> indtaster sit password, så sidder ejeren af den forkerte maskine
> og nyder dagens fangst.
Hvordan mener du? Nøglen bliver jo kun holdt op mod remoten såfremt
denne findes, dvs. på min server ligger en public nøgle og på min
workstation ligger den private.
Connecter jeg til en remote host uden denne har en public key, så
indtaster jeg jo bare mit password som normalt og så er den prut ude
> Det sker ikke med en passphrase, fordi den aldrig kommer i nærheden af
> den forkerte maskine.
No comprendo?
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (01-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-04 15:52 |
|
Den Sun, 01 Feb 2004 14:54:30 +0100 skrev Martin Johansen [6000]:
>On Sat, 31 Jan 2004 20:54:28 +0000, Kent Friis wrote:
>
>> At den dag man kommer til at connecte til en forkert maskine, og
>> indtaster sit password, så sidder ejeren af den forkerte maskine
>> og nyder dagens fangst.
>
>Hvordan mener du? Nøglen bliver jo kun holdt op mod remoten såfremt
>denne findes, dvs. på min server ligger en public nøgle og på min
>workstation ligger den private.
Jeg snakker om passwords.
Man connecter ved en fejl til hax0r.somewhere.com, og indtaster sit
password. Sshd i den anden ende har så en lille "feature" der
gemmer passwordet i en fil, sammen med det ip-nummer du connecter fra.
*Det* sker ikke med en passphrase.
>Connecter jeg til en remote host uden denne har en public key, så
>indtaster jeg jo bare mit password som normalt og så er den prut ude
>
>> Det sker ikke med en passphrase, fordi den aldrig kommer i nærheden af
>> den forkerte maskine.
>
>No comprendo?
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (01-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 01-02-04 20:04 |
|
On Sun, 01 Feb 2004 14:52:01 +0000, Kent Friis wrote:
> Jeg snakker om passwords.
OK..
> Man connecter ved en fejl til hax0r.somewhere.com, og indtaster sit
> password. Sshd i den anden ende har så en lille "feature" der
> gemmer passwordet i en fil, sammen med det ip-nummer du connecter fra.
>
> *Det* sker ikke med en passphrase.
Okay på den måde. Så forstår jeg bedre. Det har noget med sikkerhed,
at gøre hvor det essentielle for mig er det magelige i ikke, at skulle
taste password/passphrase
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (01-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-04 22:03 |
|
Den Sun, 01 Feb 2004 20:04:17 +0100 skrev Martin Johansen [6000]:
>On Sun, 01 Feb 2004 14:52:01 +0000, Kent Friis wrote:
>
>> Jeg snakker om passwords.
>
>OK..
>
>> Man connecter ved en fejl til hax0r.somewhere.com, og indtaster sit
>> password. Sshd i den anden ende har så en lille "feature" der
>> gemmer passwordet i en fil, sammen med det ip-nummer du connecter fra.
>>
>> *Det* sker ikke med en passphrase.
>
>Okay på den måde. Så forstår jeg bedre. Det har noget med sikkerhed,
>at gøre hvor det essentielle for mig er det magelige i ikke, at skulle
>taste password/passphrase
Jeg forklarede fordelen ved passphrase i forhold til passwords, hvor
du mente man var lige vidt... Det er bare en anden fordel end den du
var ude efter.
Iøvrigt kører jeg selv uden passphrase på min SSH key, min PC herhjemme
er der ikke nogen der kommer i nærheden af, og den er (efter min egen
vurdering) godt sikret imod angreb fra nettet.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (01-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 01-02-04 22:39 |
|
On Sun, 01 Feb 2004 21:03:23 +0000, Kent Friis wrote:
> Jeg forklarede fordelen ved passphrase i forhold til passwords, hvor
> du mente man var lige vidt... Det er bare en anden fordel end den du
> var ude efter.
Efter forklaringen kan jeg godt se det. Troede bare, at idéen med en
nøgle var, at man slap for at taste dit og dat.
> Iøvrigt kører jeg selv uden passphrase på min SSH key, min PC herhjemme
> er der ikke nogen der kommer i nærheden af, og den er (efter min egen
> vurdering) godt sikret imod angreb fra nettet.
Jeg kører også uden passphrase. Det burde vel ikke udgøre nogen
sikkerhedsrisiko når jeg kun har en offentlig nøgle til, at ligge på
min server (som er den jeg tilgår med nøgle). ?
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (01-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-04 23:22 |
|
Den Sun, 01 Feb 2004 22:39:05 +0100 skrev Martin Johansen [6000]:
>On Sun, 01 Feb 2004 21:03:23 +0000, Kent Friis wrote:
>
>> Jeg forklarede fordelen ved passphrase i forhold til passwords, hvor
>> du mente man var lige vidt... Det er bare en anden fordel end den du
>> var ude efter.
>
>Efter forklaringen kan jeg godt se det. Troede bare, at idéen med en
>nøgle var, at man slap for at taste dit og dat.
>
>> Iøvrigt kører jeg selv uden passphrase på min SSH key, min PC herhjemme
>> er der ikke nogen der kommer i nærheden af, og den er (efter min egen
>> vurdering) godt sikret imod angreb fra nettet.
>
>Jeg kører også uden passphrase. Det burde vel ikke udgøre nogen
>sikkerhedsrisiko når jeg kun har en offentlig nøgle til, at ligge på
>min server (som er den jeg tilgår med nøgle). ?
Det kommer an på hvordan du opbevarer din private nøgle - det er
den din passphrase skal beskytte.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (01-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 01-02-04 23:39 |
|
On Sun, 01 Feb 2004 22:21:43 +0000, Kent Friis wrote:
> Det kommer an på hvordan du opbevarer din private nøgle - det er
> den din passphrase skal beskytte.
Den er opbevaret i ~/.ssh
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (02-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 02-02-04 00:01 |
|
Den Sun, 01 Feb 2004 23:39:22 +0100 skrev Martin Johansen [6000]:
>On Sun, 01 Feb 2004 22:21:43 +0000, Kent Friis wrote:
>
>> Det kommer an på hvordan du opbevarer din private nøgle - det er
>> den din passphrase skal beskytte.
>
>Den er opbevaret i ~/.ssh
Hvis du mente det seriøst, så vil jeg på det kraftigste anbefale en
god passphrase.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (02-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 02-02-04 07:38 |
|
On Sun, 01 Feb 2004 23:01:26 +0000, Kent Friis wrote:
> Hvis du mente det seriøst, så vil jeg på det kraftigste anbefale en
> god passphrase.
Selvfølgelig mener jeg det seriøst Hvor skulle jeg ellers opbevare
den?
Men jeg er faktisk lidt forvirret nu.. kan du, eller evt. henvise til en
guide, forklare det hele en del nærmere? Hvordan det virker, sikkerhed mv.
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Alex Holst (02-02-2004)
| Kommentar
Fra : Alex Holst |
Dato : 02-02-04 11:30 |
|
Martin Johansen [6000] wrote:
> Selvfølgelig mener jeg det seriøst Hvor skulle jeg ellers opbevare
> den?
>
> Men jeg er faktisk lidt forvirret nu.. kan du, eller evt. henvise til en
> guide, forklare det hele en del nærmere? Hvordan det virker, sikkerhed mv.
http://mongers.org/ssh
Alternativt maa du forklare hvad du vil vide. Det virker ikke til at du
kan bruge f.eks. en forklaring af SSH2 protokollen til noget.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Martin Johansen [600~ (02-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 02-02-04 18:40 |
|
On Mon, 02 Feb 2004 11:29:51 +0100, Alex Holst wrote:
> http://mongers.org/ssh
Den har jeg læst, ellers tak
> Alternativt maa du forklare hvad du vil vide. Det virker ikke til at du
> kan bruge f.eks. en forklaring af SSH2 protokollen til noget.
Tja tjo, måske det kan få mig til at forstå.
Nej det er sådan her:
Jeg har 2 computere - en server og en workstation. Fra min workstation
connecter jeg flere gange dagligt til min server (begge inden for samme
lan) og det irriterer mig grænseløst, at skulle taste password hver gang.
Så faldt jeg over den tråd her og tænkte "aha!". Jeg fik lavet en
nøgle uden passphrase og kopieret dem hen på de respektive steder i
henhold til den guide jeg brugte (en af linkene fra denne tråd).
Dejligt - nu kan jeg connecte uden at taste anden end 'ssh ip'.
Så får jeg nu, at vide at måden jeg opbevarer min nøgle ikke er så
godt og jeg meget gerne må bruge en passphrase.
Mit spørgsmål er så:
Hvori består det smarte i en nøgle? Man slipper for password, men skal
taste passphrase istedet for = vi er ved udgangspunktet, nemlig at der
alligevel skal tastes noget
Håber det gav mening
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Thomas Rasmussen (03-02-2004)
| Kommentar
Fra : Thomas Rasmussen |
Dato : 03-02-04 09:06 |
|
"Martin Johansen [6000]" <ares@c.dk> writes:
> Hvori består det smarte i en nøgle? Man slipper for password, men skal
> taste passphrase istedet for = vi er ved udgangspunktet, nemlig at der
> alligevel skal tastes noget
Du har vist misset pointen med ssh-agent og ssh-add, som nemlig gør at
du (i din nuværende session) kan "låse" din key op ved at indtaste
passphrase _een_ gang, og så kan du i den session ssh'e alt det du vel
mellem de to maskiner uden overhovedet at skulle indtaste password
_eller_ passphrase.
Fx. jeg har flg. stående i min .xsession som bliver eksekveret når jeg
logger på min gdm:
exec ssh-agent gnome-session
Derved starter jeg gnome op med ssh-agent'en wrappet uden om.
Når jeg så er inde i gnome, så åbner jeg en terminal og indtaster:
ssh-add
den spørger mig om min passphrase, som jeg indtaster.
jeg kan nu lave en
ssh maskine-der-har-mine-ssh-keys
og jeg ryger vupti direkte ind på den, skal ikke indtaste password
eller passphrase.
Jeg kan så lave en 'ssh-add -d' som sletter min session og den spørger
mig så om passphrase hvis jeg ssh'er til maskinen igen.
Mvh
Thomas
--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)
| |
Martin Johansen [600~ (03-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 03-02-04 19:04 |
|
On Tue, 03 Feb 2004 09:05:39 +0100, Thomas Rasmussen wrote:
> Du har vist misset pointen med ssh-agent og ssh-add, som nemlig gør at
> du (i din nuværende session) kan "låse" din key op ved at indtaste
> passphrase _een_ gang, og så kan du i den session ssh'e alt det du vel
> mellem de to maskiner uden overhovedet at skulle indtaste password
> _eller_ passphrase.
Se det kan vi jo bruge til noget
> Fx. jeg har flg. stående i min .xsession som bliver eksekveret når jeg
> logger på min gdm:
>
> exec ssh-agent gnome-session
>
> Derved starter jeg gnome op med ssh-agent'en wrappet uden om.
Har du kommandoen til KDE ?
> Når jeg så er inde i gnome, så åbner jeg en terminal og indtaster:
>
> ssh-add
>
> den spørger mig om min passphrase, som jeg indtaster.
Kan det evt. automatiseres, så jeg slipper for det uden at kompromitere
sikkerheden?
> jeg kan nu lave en
>
> ssh maskine-der-har-mine-ssh-keys
>
> og jeg ryger vupti direkte ind på den, skal ikke indtaste password
> eller passphrase.
Og det er det jeg gerne vil
> Jeg kan så lave en 'ssh-add -d' som sletter min session og den spørger
> mig så om passphrase hvis jeg ssh'er til maskinen igen.
Er det nødvendigt, eller er det nok med en genstart fx? Altså om den er
slettet efter en reboot?
Tak for dit indlæg!!
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Thomas Rasmussen (05-02-2004)
| Kommentar
Fra : Thomas Rasmussen |
Dato : 05-02-04 08:46 |
|
"Martin Johansen [6000]" <ares@c.dk> writes:
> > exec ssh-agent gnome-session
> >
> > Derved starter jeg gnome op med ssh-agent'en wrappet uden om.
>
> Har du kommandoen til KDE ?
Nææh, men mon ikke det er noget med:
exec ssh-agent kde
eller evt. kde-session eller noget lign. Men du skal så lige have
kdm/gdm sat op til at bruge .xsession (man kan vælge det i std. menu
på debians gdm)
> > ssh-add
> >
> > den spørger mig om min passphrase, som jeg indtaster.
>
> Kan det evt. automatiseres, så jeg slipper for det uden at kompromitere
> sikkerheden?
Nu vil du jo igen fjerne passphrase, og det kan du ikke gøre uden at
sikkerheden ryger til langbortistand. Du skal huske på at din
passphrase er den _eneste_! form for sikkerhed du pludselig har på
ssh, hvis du fjerne den, så er du helt væk.
> > Jeg kan så lave en 'ssh-add -d' som sletter min session og den spørger
> > mig så om passphrase hvis jeg ssh'er til maskinen igen.
>
> Er det nødvendigt, eller er det nok med en genstart fx? Altså om den er
> slettet efter en reboot?
øhm?! du vil hellere reboote end at sende ssh-add -d?
Anyhow, en reboot, logout af X eller ssh-add -d vil fjerne nøglen.
/Thomas
--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)
| |
Martin Johansen [600~ (05-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 05-02-04 18:40 |
|
On Thu, 05 Feb 2004 08:45:57 +0100, Thomas Rasmussen wrote:
> øhm?! du vil hellere reboote end at sende ssh-add -d?
Nej, men jeg har ikke brug for at slette den normal vis, og da maskinen
slukkes om natten er det jo rart den slettes hvis jeg ikke skal bruge ssh
næste gang.
> Anyhow, en reboot, logout af X eller ssh-add -d vil fjerne nøglen.
Kanon
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (02-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 02-02-04 17:23 |
|
Den Mon, 02 Feb 2004 07:38:19 +0100 skrev Martin Johansen [6000]:
>On Sun, 01 Feb 2004 23:01:26 +0000, Kent Friis wrote:
>
>> Hvis du mente det seriøst, så vil jeg på det kraftigste anbefale en
>> god passphrase.
>
>Selvfølgelig mener jeg det seriøst Hvor skulle jeg ellers opbevare
>den?
Jeg spurgte hvordan du opbevarer den. Filens placering er sikkerheds-
mæssigt irrelevant.
Det der er interessant sikkerhedsmæssigt er hvor svær den er at få
fat i.
I den ene ende har man personen der har gemt sin private key på en
USB-ting og opbevarer USB-tingen i pengeskabet, som der sidder
to rottweilere og passer på, foruden video-overvågning, bevægelses-
censorer og ham selv liggende i rummet ved siden af, med en
maskinpistol så han kan nå den fra sengen...
I den anden ende har vi så personen der har sin private key
liggende i /home/ftp/pub, som iøvrigt er mirror'et en syv-otte
steder på nettet.
Gæt selv hvem af dem der kan undvære en passphrase.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (02-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 02-02-04 18:43 |
|
On Mon, 02 Feb 2004 16:23:05 +0000, Kent Friis wrote:
> Jeg spurgte hvordan du opbevarer den. Filens placering er sikkerheds-
> mæssigt irrelevant.
OK
> Det der er interessant sikkerhedsmæssigt er hvor svær den er at få
> fat i.
Så langt er jeg med
> I den anden ende har vi så personen der har sin private key
> liggende i /home/ftp/pub, som iøvrigt er mirror'et en syv-otte
> steder på nettet.
Det må være mig - næsten For mit home er ikke delt til omverdenen.
> Gæt selv hvem af dem der kan undvære en passphrase.
Kan godt følge dig.
Men hvorfor så i det hele taget bruge en nøgle? Det er det jeg ikke
rigtig kan få ind i min knold *GG*
Altså du skal stadig taste noget, så hvorfor ikke bare taste sit
oprindelige password og glemme alt om en nøgle?
I tager jeg sikkert til hovedet nu, men håber I kan bære over med mig
*GG*
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (02-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 02-02-04 19:16 |
|
Den Mon, 02 Feb 2004 18:42:31 +0100 skrev Martin Johansen [6000]:
>
>Men hvorfor så i det hele taget bruge en nøgle? Det er det jeg ikke
>rigtig kan få ind i min knold *GG*
Fordi at hvis man dummer sig, risikerer at komme til at sende
passwordet til en forkert server, hvor den bliver opsnappet.
Og fordi nøglerne har mange flere bits end passwords, og dermed
tager længere tid at brute-force.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (02-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 02-02-04 21:24 |
|
On Mon, 02 Feb 2004 18:16:03 +0000, Kent Friis wrote:
> Fordi at hvis man dummer sig, risikerer at komme til at sende
> passwordet til en forkert server, hvor den bliver opsnappet.
Hmm hvis jeg logger på en fremmed server som ikke har en nøgle liggende,
så ber den jo bare om mit password? Ihvertfald ber min server om password
til den/de brugere som ej har oprettet en nøgle, dvs. serveren kan stadig
opsnappe passwordet - Eller tager jeg her grueligt fejl?
> Og fordi nøglerne har mange flere bits end passwords, og dermed
> tager længere tid at brute-force.
Okay den kan jeg forstå!
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Kent Friis (02-02-2004)
| Kommentar
Fra : Kent Friis |
Dato : 02-02-04 22:53 |
|
Den Mon, 02 Feb 2004 21:23:41 +0100 skrev Martin Johansen [6000]:
>On Mon, 02 Feb 2004 18:16:03 +0000, Kent Friis wrote:
>
>> Fordi at hvis man dummer sig, risikerer at komme til at sende
>> passwordet til en forkert server, hvor den bliver opsnappet.
>
>Hmm hvis jeg logger på en fremmed server som ikke har en nøgle liggende,
>så ber den jo bare om mit password? Ihvertfald ber min server om password
>til den/de brugere som ej har oprettet en nøgle, dvs. serveren kan stadig
>opsnappe passwordet - Eller tager jeg her grueligt fejl?
Når man forsøger at logge ind med public key auth, og serveren pludselig
spørger efter et password, så ved man allerede at der er et eller andet
galt.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Martin Johansen [600~ (03-02-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 03-02-04 08:39 |
|
On Mon, 02 Feb 2004 21:52:43 +0000, Kent Friis wrote:
> Når man forsøger at logge ind med public key auth, og serveren pludselig
> spørger efter et password, så ved man allerede at der er et eller andet
> galt.
Okay Så er det der man ikke skal taste sit password.
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/
| |
Rasmus Bøg Hansen (30-01-2004)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 30-01-04 15:48 |
|
Martin Jørgensen <unoder(spam-protected)@(remove-these)jay.net> writes:
>> Det er jo heller ikke så svært lige at vænne sig til at køre en
>> ssh-add når du logger på din maskine?
>
> Lavede lige en "man ssh-add" men jeg forstod det ikke helt. Den skal vel
> køres på remote-computeren, men hvori ligger forskellen mellem det jeg nu
> har lavet ved manuelt at kopiere id_dsa.pub filen over til
> remotehost:authorized_keys, samt at lave chmod på .ssh samt authorized_keys
> filen? Det er måske det samme?
Hvis du kører dit login gennem ssh-agent, kan du tilføje din private
nøgle til agenten med ssh-add. ssh-add beder nu om kodeordet - og du
kan derfor logge ind uden at indtaste dit kodeord, så længe ssh-agent
kører.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Man invented language to satisfy his deep need to complain.
-- Lily Tomlin
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Henrik Bøgh (28-01-2004)
| Kommentar
Fra : Henrik Bøgh |
Dato : 28-01-04 18:53 |
|
Camilla Krag Jensen wrote in dk.edb.system.unix:
> Hej!
> Jeg er lige begyndt at bruge Linux hjemme. Der er en SSHserver på min
> skole som jeg bruger ret ofte. Er der ikke noget med at man kan generere
> n slags nøgle så jeg ikke behøver et password til ssh og scp når jeg
> sidder hjemme?
>
> Og hvordan er det lige man gør?
http://55.5cm.dk/geek/notes.html#noeglebaseret_autentificering_i_ssh
fortæller stort set vist alt hvad du skal bruge.
> Camilla
--
Med Venlig Hilsen: Henrik Bøgh || http://55.5cm.dk/geek/usenet.html
"Life is about finding inner peace"
-- Michael Boatman as Carter Heywood in 'Spin City'
| |
|
|