Vlákno názorů k článku Jak se přihlašovat na SSH bez zadávání hesla od Nick - klice jsou supr, ale nevyhodou je zaneseni urcite...
-
Nick (neregistrovaný)
klice jsou supr, ale nevyhodou je zaneseni urcite decentralizace rizeni pristupu, ktera v dusledku muze predstavovat vetsi problem nez prihlasovani heslem.
vysvetleno na priklade: sit s vetsim mnozstvim serveru spravovana skupinou administratoru, kazdy z nich ma svuj verejny klic nahrany v /root/.ssh/authorized_keys na kazdem serveru. jeden z adminu opusti firmu. v tomto okamziku dojde typicky ke zmene vsech administratorskych hesel na vsech systemech. v pripade klicu je vsak treba projit na vsech serverech /root/.ssh/authorized_keys a najit klic onoho admina, coz vubec nemusi byt snadne. vubec uz nemluvim o tom, co kdyz si admin vygeneruje vice klicu s identifikatorama, ktere jakoby patrili nekomu jinemu a tudiz se prehlidnou pri odstranovani.
tohle povazuju za zasadni bezpecnostni nevyhodu jinak dobreho konceptu, ktera jej vsak vyrazuje z pouziti v opravdu distribuovanem prostredi.
poradne centralizovane reseni (nejen pro SSH) je Kerberos a GSSAPI. ma vsechny vyhody SSH klicu, k tomu radu dalsich a pritom je centralizovane, tedy odstranenim principalu z kerberos databaze ztraci moznost autentizace kdekoliv by se o to pokousel.
ČLÁNKY DO MAILU