Вопросы Теги

Не использование Аутентификации SSH Pubkey является действительно серьезным дефектом безопасности, выдерживают сравнение с регулярной Аутентификацией по паролю

Диск монитора операции ввода-вывода и размеры диска операции ввода-вывода.

Это скажет Вам

  1. Где узкие места (например, многие читают операции ввода-вывода / второй, или несколько очень больших записей.), который скажет Вам
  2. Что изменяется, необходимо сделать, чтобы улучшить производительность (например, измениться на массив RAID10 или переключиться на SSD).

Я не уверен, что управляет Вами, имеют по настройке дисков в Вашей среде, но действительно кажется, что это - Ваше узкое место.

-5
задан 25 August 2014 в 19:51
3 ответа
  • Ваш пароль состоит из 12 символов, что при 6 битах на символ составляет 72 бита случайности. Длина ключа SSH составляет не менее 2048 бит, и это намного больше, чтобы попытаться угадать.
  • Ключ SSH хранится на вашем клиенте, доступ к нему имеет только клиент SSH, и вы даже не знаете его. Пароль часто используется для других целей (более высокая вероятность утечки) и вводится в ненадежных средах.
  • При атаке MITM попытка аутентификации с помощью ключа SSH не приводит к утечке закрытого ключа, тогда как попытка аутентификации по паролю приводит к утечке пароля. .
6
ответ дан 5 December 2019 в 22:15

Аутентификация Pubkey более надежна, потому что AAA зависит от пары ключей, по сути, от математической идентичности, а не от строки символов (пароля). Чтобы преуспеть в авторизации, нужно обладать публичной частью, и вы не можете просто наклониться через плечо или получить это с помощью резинового шланга. Что касается комментария о MITM ... ну, ssh не передает пароли в открытом виде.

Конечно, вы можете сделать здесь больше, помимо pubkeys:

  • Ограничьте исходные IP-адреса, которые могут подключаться к этой системе.
    • брандмауэр хоста
    • TCP Wrappers
    • Обратный прокси
  • Используйте 'AllowUsers' и 'Allowgroups' в sshd_config
  • Используйте PAM, существуют различные модули, которые применяют дополнительную фильтрацию безопасности
  • Требовать аутентификацию pubkey как а также пароль,
  • Установите «PermitRootLogin No» в sshd_config
  • Установите для «ServerKeyBits» значение 2048 в sshd_config
  • Сгенерируйте ваши pubkeys как 2048-битные или более крупные

Альтернативы аутентификации pubkey?

  • Использовать S / MIME, сгенерируйте список одноразовых паролей
1
ответ дан 5 December 2019 в 22:15

Предположим, кто-то получил от вас ваш пароль, проведя стикер из-под клавиатуры? Или с помощью , используя резиновый шланг . Если аутентификация по паролю отключена, это будет бесполезно.

1
ответ дан 5 December 2019 в 22:15

Теги

Похожие вопросы