Crie chaves ssh únicas na web

1

Muitas vezes, preciso ssh de computadores que não são meus, portanto, por motivos de segurança, gostaria de poder criar uma chave ssh que expira após um login com ela. Além disso, seria útil se eu pudesse recuperá-los do meu servidor da Web digitando uma senha. Não tenho tanta certeza sobre o quão bem o aspecto do servidor web funcionaria, porque isso provavelmente representaria um conjunto totalmente novo de riscos de segurança, mas até ser capaz de criar chaves ssh únicas seria útil. Se alguém puder ajudar com isso, eu agradeceria muito.

    
por Aaronneyer 11.02.2012 / 20:48

2 respostas

2

A ideia é interessante e não demoraria muito para ser implementada. O serviço poderia gerar uma chave RSA ou ECDSA comum (usando ssh-keygen ou openssl ), anexar a parte pública a authorized_keys (com um comentário de "expiração automática") e seu ~/.profile ou sshrc poderia limpar automaticamente essas chaves ao fazer o login.

No entanto, você daria sem vantagem em segurança, pois você ainda precisa autenticar, desta vez em um site - usando, presumivelmente, o mesmo nome de usuário e senha de texto simples que teria dado ao SSH ...

Mesmo se você usar SSL para evitar a transferência da senha em texto simples, o site ainda permanecerá um pouco menos seguro do que os logins SSH diretos; você teria que obter e periodicamente renovar um certificado SSL verificado para evitar ataques MitM, e não é tão fácil quanto carregar apenas a impressão digital SSH no seu bolso.)

Antes de sugerir que você poderia usar algum tipo de autenticação OTP para o site, observarei que também é possível usar o OTP para conexões SSH. Em particular, o Google Authenticator é fornecido com um módulo PAM para seu servidor e aplicativos geradores de OTP para os telefones celulares mais populares. Outro serviço, a Duo Security , usa uma chamada telefônica para autenticar. Finalmente, módulos independentes como o OPIE existem também.

    
por 11.02.2012 / 21:06
1

Então, como você garante que o acesso ao servidor da Web seja seguro?

Um sistema de senha única desenvolvido pela Universidade de Cambridge: link

    
por 11.02.2012 / 21:07

Tags