forum.wfido.ru  

Вернуться   forum.wfido.ru > Прочие эхи > RU.LINUX

Ответ
 
Опции темы Опции просмотра
  #21  
Старый 30.03.2019, 15:52
Michael Dukelsky
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Michael Dukelsky написал(а) к Eugene Grosbein в Mar 19 14:13:56 по местному времени:

Привет, Eugene!

30 Mar 19 02:58, Eugene Grosbein послал(а) письмо к Michael Dukelsky:

MD>> Пароль передаётся открытым текстом до создания шифрованного
MD>> канала.
EG> Плюнь тому в глаза, кто тебе это сказал.

Лет 10 назад (может больше, точно не помню) в фирме, где я работал программистом, админ уехал в отпуск. И там, используя ssh с паролем, пообщался с серверами через открытый Wi-Fi. На сервера залезли, и по возвращении ему пришлось всё переставлять. Вот тогда мы с ним и посмотрели в Wireshark, что пароль передаётся открытым текстом. Если это с тех пор исправили, замечательно. Но пароль в логе Wireshark я видел своими глазами.

Желаю успехов, Eugene!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303
Ответить с цитированием
  #22  
Старый 30.03.2019, 15:52
Michael Dukelsky
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Michael Dukelsky написал(а) к Gennadij Pastuhov в Mar 19 14:28:36 по местному времени:

Привет, Gennadij!

30 Mar 19 10:10, Eugene Grosbein послал(а) письмо к Gennadij Pastuhov:

EG> Публичный ключ не надо "таскать" и потеряться он не может.
EG> Один раз на своей машине генерируешь ключевую пару командой
EG> ssh-keygen.

EG> При первом же входе на удалённую машину, куда раньше ещё не ходил
EG> и не клал свой публичный ключ, тоже запускаешь ssh-keygen - оно тебе
EG> в домашнем каталоге создаст подкаталог .ssh с правильными правами
EG> доступа (это важно), запускаешь любимый редактор для нового файла
EG> ~/.ssh/authorized_keys и пастишь в него содержимое публичного ключа
EG> id*.pub со своей машины из такого же подкаталога ~/.ssh

EG> Всё - теперь тебе никогда не придётся вводить пароль при входе на эту
EG> машину.

EG> Обычно исходник публичного ключа лежит в id_rsa.pub или в
EG> ided25519.pub, раньше встречались ещё iddsa.pub, но это было давно и
EG> нынешние версии openssh по умолчаню не обслуживают DSA-ключи
EG> (id_dsa.pub).

Здесь ещё надо добавить, что при первом соединении с удалённой машиной тебе сообщат отпечаток (fingerprint) хостового ключа удалённой машины. Надо обязательно убедиться, что он совпадает с фактическим отпечатком публичного хостового ключа удалённой машины. Если совпадает, значит твоё соединение никто не перехватил. Если не совпадает, соединение надо разорвать. Хостовые ключи лежат в /etc/ssh. Посмотреть отпечаток ключа можно командой
ssh-keygen -lf файл-ключа.pub

Желаю успехов, Gennadij!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303
Ответить с цитированием
  #23  
Старый 30.03.2019, 15:52
Michael Dukelsky
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Michael Dukelsky написал(а) к Gennadij Pastuhov в Mar 19 14:38:06 по местному времени:

Привет, Gennadij!

30 Mar 19 13:38, Gennadij Pastuhov послал(а) письмо к Eugene Grosbein:

EG>> Публичный ключ не надо "таскать" и потеряться он не может.
EG>> Один раз на своей машине генерируешь ключевую пару командой
EG>> ssh-keygen.
EG>> При первом же входе на удалённую машину, куда раньше ещё не ходил
EG>> и не клал свой публичный ключ, тоже запускаешь ssh-keygen - оно
EG>> тебе в домашнем каталоге создаст подкаталог .ssh с правильными
EG>> правами доступа (это важно), запускаешь любимый редактор для
EG>> нового файла ~/.ssh/authorized_keys и пастишь в него содержимое
EG>> публичного ключа id*.pub со своей машины из такого же подкаталога
EG>> ~/.ssh Всё - теперь тебе никогда не придётся вводить пароль при
EG>> входе на эту машину.

GP> А откуда возьмётся эта пара, когда я захочу зайти на виртуалку с
GP> какого-нибудь ещё компа?

На каждой машине, с которой ты будешь туда заходить, надо сгенерировать свою пару ключей и публичный ключ добавить в authorized_keys на удалённой машине.

Желаю успехов, Gennadij!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303
Ответить с цитированием
  #24  
Старый 30.03.2019, 16:13
Gennadij Pastuhov
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Gennadij Pastuhov написал(а) к Michael Dukelsky в Mar 19 14:56:46 по местному времени:

Рад всех приветствовать! А особенно - Michael!

Суббота марта 30 19 14:28 Michael Dukelsky писал к Gennadij Pastuhov:

[ сожрали демоны ]
EG>> нынешние версии openssh по умолчаню не обслуживают DSA-ключи
EG>> (id_dsa.pub).
MD> Здесь ещё надо добавить, что при первом соединении с удалённой машиной
MD> тебе сообщат отпечаток (fingerprint) хостового ключа удалённой машины.
MD> Надо обязательно убедиться, что он совпадает с фактическим отпечатком
MD> публичного хостового ключа удалённой машины. Если совпадает, значит
MD> твоё соединение никто не перехватил. Если не совпадает, соединение
MD> надо разорвать. Хостовые ключи лежат в /etc/ssh. Посмотреть отпечаток
MD> ключа можно командой ssh-keygen -lf файл-ключа.pub

Это всё замечательно и спасибо за помощь, но можно ли что-то придумать, чтобы мне сейчас восстановить доступ?

... Jonny wanna live
--- GoldED+/W32 1.1.5-041013 xenofont.chat.ru skype pastuhovgena
Ответить с цитированием
  #25  
Старый 30.03.2019, 18:52
Michael Dukelsky
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Michael Dukelsky написал(а) к Gennadij Pastuhov в Mar 19 17:22:36 по местному времени:

Привет, Gennadij!

30 Mar 19 14:56, Gennadij Pastuhov послал(а) письмо к Michael Dukelsky:

GP> [ сожрали демоны ]
EG>>> нынешние версии openssh по умолчаню не обслуживают DSA-ключи
EG>>> (id_dsa.pub).
MD>> Здесь ещё надо добавить, что при первом соединении с удалённой
MD>> машиной тебе сообщат отпечаток (fingerprint) хостового ключа
MD>> удалённой машины. Надо обязательно убедиться, что он совпадает с
MD>> фактическим отпечатком публичного хостового ключа удалённой
MD>> машины. Если совпадает, значит твоё соединение никто не
MD>> перехватил. Если не совпадает, соединение надо разорвать.
MD>> Хостовые ключи лежат в /etc/ssh. Посмотреть отпечаток ключа можно
MD>> командой ssh-keygen -lf файл-ключа.pub
GP> Это всё замечательно и спасибо за помощь, но можно ли что-то
GP> придумать, чтобы мне сейчас восстановить доступ?

Я не был на DigitalOcean, так что подсказать не могу. Но, скорее всего, если техподдержка сказала "в морг", значит в морг. Придётся существующую виртуалку грохнуть и создать новую. Надеюсь, что у тебя есть резервная копия и что ты заплатил не более, чем за месяц.

В любом случае, надо сделать выводы на будущее. Делать регулярные автоматические бэкапы. Все пароли хранить в зашифрованной базе данных (я пользуюсь PasswordSafe), при каждом добавлении туда пароля делать её бэкапы, пароль к самой базе хранить в нескольких местах или пользоваться физическим ключом типа yubikey. Доступ к твоей виртуалке по криптографическому ключу прописать по крайней мере в двух компьютерах.

Желаю успехов, Gennadij!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303
Ответить с цитированием
  #26  
Старый 30.03.2019, 20:02
Gennadij Pastuhov
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Gennadij Pastuhov написал(а) к Michael Dukelsky в Mar 19 18:47:32 по местному времени:

Рад всех приветствовать! А особенно - Michael!

Суббота марта 30 19 17:22 Michael Dukelsky писал к Gennadij Pastuhov:

GP>> Это всё замечательно и спасибо за помощь, но можно ли что-то
GP>> придумать, чтобы мне сейчас восстановить доступ?

MD> В любом случае, надо сделать выводы на будущее. Делать регулярные
[ сожрали демоны ]

Я уже не могу это объяснить. Уже который десяток раз это. Неделю пытался восстановить ключ. У вас тут спросил. Только что открыл ssh сессию и залогинился под собой. Т.е., пароль сам собой вспомнился. Почему-то постоянно такое случается, когда сам всё перепробуешь и, как только спросишь кого-то - бац, всё внезапно получается! Ещё раз спасибо за советы.

... Jonny wanna live
--- GoldED+/W32 1.1.5-041013 xenofont.chat.ru skype pastuhovgena
Ответить с цитированием
  #27  
Старый 31.03.2019, 18:22
Maxim Serenkov
Guest
 
Сообщений: n/a
По умолчанию Re: DigitalOcean

Maxim Serenkov написал(а) к Eugene Grosbein в Mar 19 20:02:10 по местному времени:

Привет, Eugene!

Ответ на сообщение Eugene Grosbein (2:5006/1) к Gennadij Pastuhov, написанное 30 мар 19 в 10:10:

EG> Всё - теперь тебе никогда не придётся вводить пароль при входе на эту
EG> машину.
Если при генерировании пары ключей задать "ключевую фразу", он же пароль, то при коннекте необходимо вводить ее.
Если пароль не вбивать, то вход будет без пароля.
Для удаленной машины последний вариант, крайне не желателен.

С уважением - Maxim
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)
Ответить с цитированием
  #28  
Старый 31.03.2019, 18:22
Maxim Serenkov
Guest
 
Сообщений: n/a
По умолчанию Re: DigitalOcean

Maxim Serenkov написал(а) к Gennadij Pastuhov в Mar 19 20:13:06 по местному времени:

Привет, Gennadij!

Ответ на сообщение Gennadij Pastuhov (2:5036/26) к Michael Dukelsky, написанное 30 мар 19 в 14:56:


GP> Это всё замечательно и спасибо за помощь, но можно ли что-то
GP> придумать, чтобы мне сейчас восстановить доступ?
там есть recovery-mode. Кикогда им не пользовался, но стоит попробовать.
https://www.digitalocean.com/docs/dr.../recovery-iso/

С уважением - Maxim
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)
Ответить с цитированием
  #29  
Старый 31.03.2019, 21:53
Michael Dukelsky
Guest
 
Сообщений: n/a
По умолчанию DigitalOcean

Michael Dukelsky написал(а) к Maxim Serenkov в Mar 19 20:28:04 по местному времени:

Привет, Maxim!

31 Mar 19 20:02, Maxim Serenkov послал(а) письмо к Eugene Grosbein:

EG>> Всё - теперь тебе никогда не придётся вводить пароль при входе на
EG>> эту машину.
MS> Если при генерировании пары ключей задать "ключевую фразу", он же
MS> пароль, то при коннекте необходимо вводить ее. Если пароль не вбивать,
MS> то вход будет без пароля. Для удаленной машины последний вариант,
MS> крайне не желателен.

Не надо смешивать две принципиально разные вещи, которые называются одним и тем же словом. Пароль ssh передаётся на удалённую машину и обеспечивает вход по паролю. При использовании ключа вход на удалённую машину выполняется по ключу, то есть без пароля. Парольная фраза криптографического ключа (та самая, которую нужно задавать во время генерации пары ключей) никуда не передаётся и нужна только для того, чтобы в случае кражи файла закрытого ключа своровавший не смог им воспользоваться. Парольную фразу не обязательно вводить при каждом коннекте. См. keychain, ssh-agent, ssh-add.

Желаю успехов, Maxim!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303
Ответить с цитированием
  #30  
Старый 31.03.2019, 22:32
Eugene Grosbein
Guest
 
Сообщений: n/a
По умолчанию Re: DigitalOcean

Eugene Grosbein написал(а) к Gennadij Pastuhov в Apr 19 02:12:13 по местному времени:

30 марта 2019, суббота, в 13:38 NOVT, Gennadij Pastuhov написал(а):

MD>>>> Поэтому если по дороге найдётся заинтересованное лицо, то твоя
MD>>>> виртуалка уже не твоя. Пользуйся только криптографическим ключом.
MD>>>> Кстати, его невозможно забыть. man ssh-keygen
GP>>> Таскать ключи по куче компов не очень удобно. Тем более, что файл
GP>>> потеряться может.
EG>> Публичный ключ не надо "таскать" и потеряться он не может.
EG>> Один раз на своей машине генерируешь ключевую пару командой
EG>> ssh-keygen.
EG>> При первом же входе на удалённую машину, куда раньше ещё не ходил
EG>> и не клал свой публичный ключ, тоже запускаешь ssh-keygen - оно тебе
EG>> в домашнем каталоге создаст подкаталог .ssh с правильными правами
EG>> доступа (это важно), запускаешь любимый редактор для нового файла
EG>> ~/.ssh/authorized_keys и пастишь в него содержимое публичного ключа
EG>> id*.pub со своей машины из такого же подкаталога ~/.ssh
EG>> Всё - теперь тебе никогда не придётся вводить пароль при входе на эту
EG>> машину.
GP> А откуда возьмётся эта пара, когда я захочу зайти на виртуалку с какого-нибудь
GP> ещё компа?

Если однократно зайти - нет разницы, используй пароль.
Если многократно, то создай ещё одну ключевую пару и публичный ключ
из неё допиши в конец authorized_keys, в нём может быть много строчек.

Eugene
--- slrn/1.0.3 (FreeBSD)
Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 09:32. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot