Discussione:
E` prassi autenticarsi in ssh come root...
Massimo Lusetti
2016-03-21 21:28:04 UTC
Permalink
... con solo le chiavi senza password ?

A parte le "ovvie" comodita` ... quali sono i reali pericoli ?

Ma sopratutto ... voi lo fate come abitudine ?
--
Massimo Lusetti
Ferruccio Zamuner
2016-03-22 06:32:54 UTC
Permalink
Post by Massimo Lusetti
... con solo le chiavi senza password ?
A parte le "ovvie" comodita` ... quali sono i reali pericoli ?
Ma sopratutto ... voi lo fate come abitudine ?
Ciao Massimo.

L'autenticazione su ssh via password è soggetta a dictionary attack,
quella solo tramite chiave no.

Sui server con IP pubblico ho solo autenticazione tramite chiave ssh,
sulle macchine di casa no.
Tuttavia ho un amico che pensa di usare addirittura solo la doppia
chiave ssh.

Il rischio è quello di compromettere la chiave privata, espondendola per
errore:
la metti su una chiavetta USB per averla sempre con te, perdi la
chiavetta e...

L'altro rischio è quando devi fare una manutenzione urgente e non hai
la chiave con te...
o quando la perdi del tutto.


Ciao, \ferz
Paolo Tealdi
2016-03-22 08:03:13 UTC
Permalink
Post by Ferruccio Zamuner
Post by Massimo Lusetti
... con solo le chiavi senza password ?
A parte le "ovvie" comodita` ... quali sono i reali pericoli ?
Ma sopratutto ... voi lo fate come abitudine ?
Ciao Massimo.
L'autenticazione su ssh via password è soggetta a dictionary attack, quella solo
tramite chiave no.
Sui server con IP pubblico ho solo autenticazione tramite chiave ssh, sulle
macchine di casa no.
Tuttavia ho un amico che pensa di usare addirittura solo la doppia chiave ssh.
la metti su una chiavetta USB per averla sempre con te, perdi la chiavetta e...
L'altro rischio è quando devi fare una manutenzione urgente e non hai la chiave
con te...
o quando la perdi del tutto.
Ciao, \ferz
E' mia abitudine disabilitare il login come root via ssh (apposito comando nel
file di configurazione di ssh ), creare un unico account con password bloccata
che ha possibilità di fare su a root e, quando vi è necessità, collegarsi a
quell'utente via chiave ssh e poi fare su (o sudo, avendo voglia di installarlo
e configurarlo).


Ciao,
Paolo
--
Ing. Paolo Tealdi Area IT - Politecnico Torino
Telefono/Phone : +39-011-0906714 , FAX : +39-011-0906625
Indirizzo/Address : C.so Duca degli Abruzzi, 24 - 10129 Torino - ITALY
Skype : tealdi.paolo
Please consider your environmental responsibility before printing this e-mail
Massimo Lusetti
2016-03-22 11:22:32 UTC
Permalink
Post by Paolo Tealdi
E' mia abitudine disabilitare il login come root via ssh (apposito comando
nel file di configurazione di ssh ), creare un unico account con password
bloccata che ha possibilità di fare su a root e, quando vi è necessità,
collegarsi a quell'utente via chiave ssh e poi fare su (o sudo, avendo
voglia di installarlo e configurarlo).
E` quello che faccio io adesso... ma tu quante macchine devi gestire?
... E le password di root sono tutte diverse o ne hai un tot che usi a
"rotazione" ... o sono tutte uguali ?
--
Massimo Lusetti
Massimo Lusetti
2016-03-22 11:20:52 UTC
Permalink
Post by Ferruccio Zamuner
Ciao Massimo.
L'autenticazione su ssh via password è soggetta a dictionary attack, quella
solo tramite chiave no.
Sui server con IP pubblico ho solo autenticazione tramite chiave ssh, sulle
macchine di casa no.
Tuttavia ho un amico che pensa di usare addirittura solo la doppia chiave
ssh.
Il rischio è quello di compromettere la chiave privata, espondendola per
la metti su una chiavetta USB per averla sempre con te, perdi la chiavetta
e...
L'altro rischio è quando devi fare una manutenzione urgente e non hai la
chiave con te...
o quando la perdi del tutto.
Si esatto... sto cercando di capire quale sia il trade off migliore
per me... attualmente ho solo autenticazione via chiave ssh su utente
abilitato a fare su. Pero` ho i server che iniziano ad essere un po' e
non voglio usare la stessa password su piu` server.
Da qui l'idea di avere una chiave (o piu` chiavi, tipo di scorta) e
fare il login direttamente come root tanto su quelle macchine non ci
faccio mai niente se non come root.
E` un'idea tanto stupida !?
--
Massimo Lusetti
Loading...