Jump to content
  • 0

Изключване на SSH password authentication


Philip Petev

Въпрос

Здравейте

Има ли начин да се изключи напълно удостоверяването през SSH с парола и да остане само удостоверяването с двойката публичен/частен ключ? След като импортирах ключ на админа (RB951G-2HnD с RouterOS 6.20), вече ми дъни грешка когато опитам да се логна без ключа (както и трябва да е принципно), но самия метод все още е активен, а е добре да се изключи, защото без него всички brute force атаки през SSH стават безпредметни. В Linux има такава възможност като настройка в конфига на SSH сървъра, но тук не видях такова нещо и след ровене из Google никъде не видях конкретно някой да каже дали може или не. Благодаря предварително!

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

Тц, не позна,бачка си.

Виж си правата  на директорията и на ключовете/фаиловете в нея.

ssh-add ?!

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • 0

Къде да ги гледам тия неща? Ако беше нещо с bash, добре, ама не е...

 

Edit: за клиентската машина ли говориш? Естествено, че са ми наред правата, ако не са, ssh клиента започва да дъни километрични съобщения за "прекалено ниски права". Отлично знам, че папката ~/.ssh и файловете в нея трябва да са с права 600 или 700. Пък и в случая, както писах по-горе, ключовете с каквито и права да са, не играят, защото не съм ги подал в командния ред, а присъстващите, които намира, въобще не са за това място, накратко приемаме, че все едно ги няма.

 

Пък и в момента темата на разговора не е клиента, а сървъра (SSH услугата на RouteOS) и това защо прави такива глупости. Тия едни и същи филми ги наблюдавам с ssh под Linux и OS X, както и с PuTTY под Windows. Както отбелязах по-горе, мирише ми на feature request в официалния форум на MikroTik.

Редактирано от Philip Petev
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

ssh-add изпълни ли ?!

Както отбелязах по-горе,имасх проблеми с клиентската си машина :)

 

post-100-0-56639800-1413227199_thumb.png

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • 0

Човек, май говорим за различни неща. Нямам проблем с оторизацията с ключа, работи както си трябва. Проблема е, че без него пак иска паролата на потребителя, а според мен не трябва да е така, а директно да те реже. Както знаеш, това се определя в конфига на SSH сървъра и под Linux знам как се прави, но под RouterOS, където нямам достъп до реалния конфиг на SSH услугата, явно не може да стане, няма и такава опция за пълно изключване на SSH оторизацията с парола в интерфейса.

Според няколко източника, вкл. официалния форум, когато се импортира ключ на даден потребител, оторизацията с парола се изключва и действително така става, иска ми парола (въпреки че за какво трябва да ми я иска, като този метод би трябвало да е спрян), но когато я въведа, не я приема, а когато махна ключа, започва да я приема, но това не е според мен начина, по който трябва да работи. Затова преди малко пуснах един feature request в официалния форум, дано някой да обърне внимание.

Съвсем отделен въпрос е, че тия умници бива да вземат да ъпдейтнат малко криптировката, защото 1024 битов DSA ключ вече съвсем не се счита за чак толкова надежден, а изглежда това е единствения формат, който приема RouterOS.

Редактирано от Philip Petev
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Няма опция за логин само със сертификатен ключ
без потребител и парола 
или си смени порта или опиши кои адреси може да достъпват порта

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Да, да, това го разбрах, обяснявах на колегата...

 

Недоглеждане от моя стране,сорка.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.