A existência de um certificado SSL torna as conexões ssh / sftp mais automáticas?

2

Quando eu efetuo login em uma nova máquina (ou de uma nova máquina) usando ssh / sftp, sou solicitado com "aqui está uma seqüência aleatória de dígitos hexadecimais; devo confiar nela?" questão. E como eu nunca tenho a coisa certa na minha frente para descobrir se a assinatura é boa ou não, normalmente penso na rede em uso e decido de acordo - talvez até aceitando a assinatura sem realmente fazer login e em seguida, compará-lo com assinaturas what-should-be-the-same encontradas em outros diretórios de máquinas / logins .ssh.

Se eu obtiver um certificado SSL para minha "nova" máquina de destino (digamos, um dos US $ 4,99 de um dos muitos fornecedores da Web), posso usá-lo para tornar o processo mais seguro / indolor (como , seria o "você quer confiar que esta máquina é quem diz que é" prompt desaparecer? Ou os dois (SSL e ssh / sftp) são completamente disjuntos?

    
por jhfrontz 06.03.2013 / 17:58

1 resposta

4

Não, o SSH não usa o protocolo SSL nem os certificados X.509.

Além disso, mesmo que isso acontecesse, você precisaria fazer o login via SSH para instalar um certificado SSL no seu servidor, o que iria contra tudo - pelo menos no "quando eu logar para uma nova máquina "caso.

Se você configurar frequentemente novos servidores, escreva um script que consulte a impressão digital de um determinado servidor em vários locais diferentes (por exemplo, usando pssh e ssh-keyscan ). Se todos os locais visualizarem a mesma impressão digital, tudo bem.

Se você se conectar com freqüência a partir de computadores não confiáveis, escolha um de seus servidores para atuar como um "gateway", anote sua impressão digital e leve-a em sua carteira / telefone / o que for; então faça todas as conexões somente através desse servidor.

Nota: o OpenSSH 6.x tem um formato de certificado próprio, mas não se integra com a PKI X.509 existente e suporta apenas um nível de "autoridades", por isso só é útil ao se conectar a servidores já configurados a partir de um cliente já configurado.

A mesma desvantagem - a necessidade de configuração explícita - também se aplica ao suporte do OpenSSH para verificação de impressões digitais sobre o DNSSEC.

Finalmente, existem alguns patches para usar o X.509 no SSH - um usado pelo DoD dos EUA, um usado pelo Globus Toolkit (GSI-SSH), possivelmente outros - mas todos eles têm exatamente os mesmos problemas acima: só se torna mais automático quando implantado em grandes organizações. Tentar instalar o GSI-SSH em casa não lhe pouparia a qualquer momento, apenas desperdiçaria mais.

    
por 06.03.2013 / 18:22