Uma chave pública precisa ser salva em todos os clientes que desejam acesso?

Question

Uma chave pública precisa ser salva em todos os clientes que desejam acesso?

#1 resposta do Panther (0 votos)
#2 resposta do Arronical (0 votos)

0

Se eu criar um par de chaves SSH, só poderei fazer o login por meio de uma máquina cliente que tenha a chave pública? Por exemplo, se eu quisesse usar um computador na biblioteca ou na máquina de um amigo, seria possível?

Parte 2: É possível ativar a autenticação por senha e uma chave SSH, mas usar apenas uma para efetuar login? Isso vai derrotar o propósito de ter uma chave?

por Steve 16.02.2016 / 18:00

2 respostas

LPCXpresso 8 no Ubuntu 14.04 64 bit Ubuntu 14.04 Som proveniente de alto-falante e fones de ouvido

score 0 · Answer 1

Você precisa acessar a chave privada com cada cliente que deseja usar para o acesso ssh.

Pessoalmente eu uso PuTTY em uma unidade flash como Putty é multi-plataforma. Você precisará importar as chaves openssh para o keygen do PuTTY.

link

Você pode acessar ssh sem chaves (senha, kerberos, autenticação baseada em host) como uma alternativa.

Portanto, se você estiver usando chaves, o ssh tentará usar uma chave primeiro. Se uma chave não estiver disponível, ela retornará à autenticação de senha, a menos que você tenha desabilitado a autenticação de senha em sshd_config.

Se você criar uma chave, ainda poderá fazer login com senhas ou qualquer outro método.

o login é configurado via sshd_config - Veja man sshd - link

score 0 · Answer 2

Depende de como você configura seu arquivo /etc/ssh/sshd_config . Se você ainda permitir logins com apenas autenticação de senha, não precisará das chaves em todos os computadores com os quais deseja fazer login.

A seguinte linha nesse arquivo irá parar qualquer logins de senha regulares:

PasswordAuthentication  no

Esta linha está definida como yes por padrão.

Você pode criar um par de chaves ssh sem frase-senha associada (deixe em branco no processo de geração), então o nome de usuário que fornece a chave pública correta poderá fazer login sem senha, mas os logins de senha continuarão funcionando.

Você não está derrotando o propósito de ter uma chave permitindo login de senha, mas está deixando mais opções para um invasor, como forçar sua senha. Se você usar uma senha strong e um nome de usuário não padrão (não root, admin ou usuário), você diminuirá esse risco.

Sou um grande fã de não ter a porta 22 aberta no roteador que o seu PC está atrás, mas o encaminhamento de porta ou o NAT de uma porta não padrão para a porta ssh do seu PC. Então, quando você fizer login, você usaria:

ssh -p<port-number> user@ip_address

Aqui está um bom link sobre o ssh-hardening, se você vai ter o seu porto aberto para o mundo!