Názory k článku Používání klíčů v OpenSSH

Netusim, co presne znamena ta vase "ucinnost", nicmene verim tomu, ze tak jak to myslite to opravdu neni :)

ECDSA se k DSA ma tak, ze pri stejne bezpecnostni urovni je podpis stejne dlouhy (4*k), ale zato je klic pro ECDSA vyrazne kratsi. Co presne znamena vyrazne kratsi je otazka, protoze u ECDSA zavisi na pouzite variante a implementaci a delka verejneho klice tak muze byt 2*k nebo 4*k a delka soukromeho se pohybuje v podobnych hodnotach, u DSA je delka soukromeho klice dvojnasobkem bezpecnostni urovne, ovsem mezi bezpecnostni urovni a delkou verejneho klice zadny jednoduchy vztah neni (krome toho, ze se bezne pouziva kombinace 80,160,1024 bitu a nova verze normy doporucuje nekolik jinych kombinaci).

A samozrejme, obsah zpravy "chci se prihlasit jako pepa" musi byt pro kazde spojeni unikatni, jinak by to nemelo prilis smysl :)

Do jaké míry jsou mezi sebou různé implementace SSH kompatibilní? nedaří se mi přihlásit klíčem z OpenSSH do "Sun_SSH_1.1, SSH protocols 1.5/2.0, OpenSSL 0x0090704f" a zároveň do toho nechci moc zasahovat, ať si pod sebou nepodříznu větev, protože druhý jmenovaný nemá ani výstup na monitor.

Jinak pěkný článek. :o)

Dík, kouknu na to. To vypadá hodně slibně.

Dakujem za uzitocny clanok.

Vsetkym, ktorym sa to pacilo odporucam trochu dlhsi serial SSH intimne aneb uvod do paranoii.
Na podobnu temu sa venovali este aj v Jak se prihlasovat na ssh bez zadavani hesla a strucne je to aj v oblubenom seriali Hratky z radky - SSH.

klice jsou dobre, ale bez spravne politiky mohou prinaset spise problemy - "stare" klice na serverech, kde uz urcity uzivatel nema mit pristup napriklad. pouzivani klicu je tedy nutne napojit na celkovou strategii definovani roli a privilegii, napr. klice tahat od nekud z ldapu a refreshovat na serverch pomoci cfengine, puppet atp.

u nas si znudeni psychopaticti inzenyri vymysleli uplne kretensky tool, ktery pry je nejak napojeny na ticketovaci system a v situaci, ze urcity admin resi na urcitem serveru nejaky problem, tak mu tento tool vygeneruje docasnou roli a jednorazove heslo (ktere stejne nevidi) a otevre mu puffy (nebo rdp, citrix, atp...) a prihlasi ho na tento server :) jako bonus to ma pry skenovat vystup tohoto "uneseneho" programu (nevim presne jak, jestli to loguje na pozadi nebo na principu ocr napr. pri rdp), a pri "nebezpecnych prikazech" to ma delat nejaky alertovani :)

urcite by me zajimal nejaky clanek o two-factor authentikaci obecne (pac nejsem uzivatel PAM-based OSs), nebo o pouzivani ruznych tokenu atp... rozvnez openssh umi par poslednich verzi pouzivat certifikaty pro uzivatele...

staci prohledat archiv clanku roota a zjistime, ze toto tema je zde omylano jiz po nekolikate dokola bez valne pridane informacni hodnoty - viz napr. sotva rok stary clanek

...sorry za hrubky, cestina je muj druhy jazyk

Souhlasim s Nickem, snaha ze strany autora asi byla, nicmene prinosna hodnota clanku je z meho pohledu nulova, pominu-li, ze po zadani "ssh key authentication" do Google tento vyhodi "About 456,000 results (0.22 seconds)".
Mozna by bylo zajimavejsi, kdyby se autor zameril na jina, ne tak casta temata.

Pokud je tomu tak, tak se tesim uz ted ;o)

treba jak davat do uvozovek loopy ktery hrnu pres ssh :) obcas je to fakt haluz

ale to je vec shellu a ne ssh. Ssh pouze provede to same, co provede tento kratky dvouradkovy progamek:

#!/bin/sh
$*

A ted uvozovkuj aby to spustilo to co chces. Imho by bylo mnohem uzitecnejsi kdyby udelal:

#!/bin/sh
"$@"

To prvni totiz lze vzdy naemulovat pomoci:
sh -c 'vec co chci expandovat shellem'

To druhe v tom prvnim udelam vzdy jen nejakym pochybnym escapovanim.

Podle nazvu clanku, jsem cekal, ze se autor dotkne i takovych temat jako jsou certifikaty. Ssh totiz dle manualove stranky nejake jednoduche certifikaty umi. Vyhoda by snad mela byt v tom, ze lze vytvorit nejprve authorized_keys a teprve potom vlastni pristupovy klic.

Take jsem cekal, ze bude zminen gpg-agent, jako lepsi alternativa ssh-agenta. (Stacila by zminka...). A spousteni ssh-agenta metodou:
ssh-agent program
(napriklad ssh-agent startx)
coz je varianta, kterou pouziva spousta distribuci nativne. Pak kdyz skonci program (klidne i nasilne), tak se ukonci i ssh-agent. Takze kdyz clovek vypadne z Xwindows ctrl-backspacem nebo nejak podobne tak se ssh-agent ukonci take.

Myslim, ze ke zkvalitneni obsahu roota by prospelo, kdyby se ten clanek neopakoval (byt se slibuje pokracovani), ale kdyby se naopak pokracovalo v onom "rok starem" clanku a vznikl by tak treba serial. Mit vice informaci na jednom miste je lepsi nez tutez informaci na mistech nekolika...

Navic puvodni clanek by se mohl pripadne aktualizovat, pokud je co aktualizovat...

Z mojho pohladu je naopak clanok velmi prinosny. To, ze existuju kluce a je mozne sa prihlasit bez hesla (napr. v skripte) som sice vedel, ale zatial som to nehladal. A tak si teraz vecer citam nove clanky a tento ma velmi potesil, hned som si nastavil prihlasovanie na router cez kluce, lebo tie logy sa plnia velmi rychlo roznymi pokusmi o prihlasenie. Kedze heslo ma 15znakov a su v nom pouzite velke+male pismena, cislice a znaky, tak preto som to doteraz neriesil, ale predsa len kluce zase zvysia bezpecnost o nejaky ten kusok ;)

Dakujem autorovi za namahu a tesim sa na dalsie casti.

Presne tohle jsem vcera hledal. Diky !

Provětrání znalostí neuškodí. Vždycky se najde nějaký nový kousek, hlavně vydržet. Jsem zvědavý na další díly.

Comments are only supported for RSA1 keys.

co je bomba je ssh -D 1080 some.host.com

což udělá na localhostu socks proxy, kterou pak lze používat browserem nebo třeba torrent klientem

Používám například pro administraci zařízení bez výchozí brány za routerem (dnat nepomůže a stejně se mi nelíbí)

Z příkladu dialogu

C: Rád bych se přihlásil jako pepa.
S: Ahoj pepo, zadej prosím na svém kalkulátoru 123456.
C: Vyšlo mi 56789.
S: V pořádku, jsi přihlášen.


jsem Janek. Jaký kalkulátor? A kde ho vezmu? Jak jste přišli na ta čísla? A jak mám rozumět tomu "libovolně dlouhému dialogu"? Znamená to, že mohu začít větou "ahoj, jak se máš?" a pokračovat "to máme dnes hezky"?

Aha. Začínám tomu rozumět. Díky moc.:)