DigitalOcean

Eugene Grosbein написал(а) к Michael Dukelsky в Apr 19 02:15:36 по местному времени:

30 марта 2019, суббота, в 14:13 NOVT, Michael Dukelsky написал(а):

MD>>> Пароль передаётся открытым текстом до создания шифрованного
MD>>> канала.
EG>> Плюнь тому в глаза, кто тебе это сказал.
MD> Лет 10 назад (может больше, точно не помню) в фирме, где я работал
MD> программистом, админ уехал в отпуск. И там, используя ssh с паролем, пообщался с
MD> серверами через открытый Wi-Fi. На сервера залезли, и по возвращении ему
MD> пришлось всё переставлять. Вот тогда мы с ним и посмотрели в Wireshark, что
MD> пароль передаётся открытым текстом. Если это с тех пор исправили, замечательно.
MD> Но пароль в логе Wireshark я видел своими глазами.

Ты путаешь ssh с telnet, который тоже используется для удалённого
управления, и который 10 лет назад по дефолту не шифровал пароли.
Нынче даже в telnet есть шифрование паролей через SRA или Kerberos,
но остальной трафик telnet не шифрует.

У тебя так же могла быть комбинация telnet и ssh, когда ты сначала
по telnet через открытый WiFi заходил на один сервер и затем
оттуда по ssh на другие - но это не проблема самого ssh,
так как ему дали пароль, уже пропущенный открытым текстом через открытый WiFi.

Eugene
--
Народу - чтоб не вздумал бунтовать! -
Мы тоже разрешили воровать.
Пусть лучше сам ворует потихоньку,
Чем с воровскою властью враждовать!..
--- slrn/1.0.3 (FreeBSD)

Eugene Grosbein написал(а) к Maxim Serenkov в Apr 19 02:18:19 по местному времени:

31 марта 2019, воскресенье, в 18:02 NOVT, Maxim Serenkov написал(а):

EG>> Всё - теперь тебе никогда не придётся вводить пароль при входе на эту
EG>> машину.
MS> Если при генерировании пары ключей задать "ключевую фразу", он же пароль, то
MS> при коннекте необходимо вводить ее.
MS> Если пароль не вбивать, то вход будет без пароля.
MS> Для удаленной машины последний вариант, крайне не желателен.

Желателен или нежелателен - зависит от множества факторов.

Даже при непустой пассфразе её можно вводить только один раз между
перезагрузками машины, на которой лежит приватный ключ, зашифрованный
этой пассфразой, если использовать keychain, который просто обёртка
над стандартным ssh-agent, но очень удобная обёртка.

Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Норберт Винер)
--- slrn/1.0.3 (FreeBSD)

Michael Dukelsky написал(а) к Eugene Grosbein в Mar 19 21:30:12 по местному времени:

Привет, Eugene!

01 Apr 19 02:15, Eugene Grosbein послал(а) письмо к Michael Dukelsky:

MD>>>> Пароль передаётся открытым текстом до создания шифрованного
MD>>>> канала.
EG>>> Плюнь тому в глаза, кто тебе это сказал.
MD>> Лет 10 назад (может больше, точно не помню) в фирме, где я
MD>> работал программистом, админ уехал в отпуск. И там, используя ssh
MD>> с паролем, пообщался с серверами через открытый Wi-Fi. На сервера
MD>> залезли, и по возвращении ему пришлось всё переставлять. Вот
MD>> тогда мы с ним и посмотрели в Wireshark, что пароль передаётся
MD>> открытым текстом. Если это с тех пор исправили, замечательно. Но
MD>> пароль в логе Wireshark я видел своими глазами.

EG> Ты путаешь ssh с telnet,

С чего ты взял?

EG> который тоже используется для удалённого
EG> управления, и который 10 лет назад по дефолту не шифровал пароли.
EG> Нынче даже в telnet есть шифрование паролей через SRA или Kerberos,
EG> но остальной трафик telnet не шифрует.

EG> У тебя так же могла быть комбинация telnet и ssh, когда ты сначала
EG> по telnet через открытый WiFi заходил на один сервер и затем
EG> оттуда по ssh на другие - но это не проблема самого ssh,
EG> так как ему дали пароль, уже пропущенный открытым текстом через
EG> открытый WiFi.

Во-первых, заходил не я, а наш админ. У меня доступа на сервера не было. Во-вторых, он сказал про ssh, никакой речи про телнет не было, при чём тут телнет? Возможно, это был баг той конкретной реализации ssh, я не знаю.

Желаю успехов, Eugene!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Eugene Grosbein написал(а) к Michael Dukelsky в Apr 19 14:55:44 по местному времени:

31 марта 2019, воскресенье, в 19:30 NOVT, Michael Dukelsky написал(а):

EG>> Ты путаешь ssh с telnet,
MD> С чего ты взял?

С того, что никогда никакой ssh не передавал ни пароли, ни вообще
трафик открытым текстом. Да, можно применить к ssh жуткие хаки
на тему null cipher, чтобы он всё-таки не шифровал данные,
которые идут через него уже после авторизации - такое крайне редко,
но применяется в изолированных сетях с очень слабыми в смысле
вычислительной мощности устройствами, чтобы повысить скорость
копирования больших файлов через ssh за счёт отказа от их шифрования
при передаче - там ssh используется из-за удобства беспарольной
авторизации по ключам, но это очень особый случай и в дефолтной
конфигурации ssh такого не поддерживает.

EG>> который тоже используется для удалённого
EG>> управления, и который 10 лет назад по дефолту не шифровал пароли.
EG>> Нынче даже в telnet есть шифрование паролей через SRA или Kerberos,
EG>> но остальной трафик telnet не шифрует.
EG>> У тебя так же могла быть комбинация telnet и ssh, когда ты сначала
EG>> по telnet через открытый WiFi заходил на один сервер и затем
EG>> оттуда по ssh на другие - но это не проблема самого ssh,
EG>> так как ему дали пароль, уже пропущенный открытым текстом через
EG>> открытый WiFi.
MD> Во-первых, заходил не я, а наш админ. У меня доступа на сервера не было.
MD> Во-вторых, он сказал про ssh, никакой речи про телнет не было, при чём тут
MD> телнет? Возможно, это был баг той конкретной реализации ssh, я не знаю.

Значит, плюнь в глаза именно админу, если встретишь его :-)
Он тебя ввёл в заблуждение.

Eugene
--- slrn/1.0.3 (FreeBSD)