by
Anonymous Coward
on 2019年05月21日 16時35分
(#3618491)
ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/whoami/.ssh/id_rsa): Enter passphrase (empty for no passphrase): 標準で聞いてくるよなあ…emptyにするのが標準なんだろうか?あと、秘密鍵暗号化に対応してないSSHクライアントってなんだろ?これってネタとか釣りなのかな?
日本の運用だとかえって危険になる気がする (スコア:0)
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
多くの組織の場合、パスワードの前半部
Re:日本の運用だとかえって危険になる気がする (スコア:0)
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/whoami/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
標準で聞いてくるよなあ…emptyにするのが標準なんだろうか?あと、秘密鍵暗号化に対応してないSSHクライアントってなんだろ?これってネタとか釣りなのかな?
パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…
Re: (スコア:0)
パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…
使いまわすのは秘密鍵も同じでは?
PuTTYgenとかで作って同じのサーバにアップして使いません?
VPS50台管理していたら50セットもキーペア作るんですか?
Re:日本の運用だとかえって危険になる気がする (スコア:1)
自分の周りの場合基本的に接続元端末毎に接続先台数分作る
~/.ssh/config に書いとけばいいし
Re: (スコア:0)
使いまわしても、自分の端末から漏洩することはあっても
別のところから漏洩はしないでしょw
Re: (スコア:0)
ちゃうちゃう、秘密鍵自体をみんなで共有しやがるの。
だから同じ秘密鍵がいろんな端末に入っているという。
その時点で漏れたとみなすべきだろうけど、彼女らはそういう認識を持たない。
何言っているんだって思おうかもしんないけど、そういう運用する馬鹿多い。
というか、運用に携わるITエンジニアってそんなばっか。
Re: (スコア:0)
秘密鍵の使いまわしって、基本SSHでしかやらないでしょう?パスワードはWindowsのサインインに始まり、GmailだFaceBookだYahooだOffice365だAppleIDだ、全部同じにしている人が結構いるわけです。haveibeenpwned.comで検索するとまあ出るわ出るわ。この理由だけでパスワードはだめなんです。使いまわしの抵抗感がほぼゼロなんです。
Re: (スコア:0)
パスワード使い回すのって、パスワードをpasswordにしたり、
秘密鍵の入ったモバイルPCやUSBメモリにパスフレーズ書いた付箋貼っとくのと同じぐらいアホなことなので、
そんなアホのやることまで考えてたら、どっちもどっちじゃろ
Re:日本の運用だとかえって危険になる気がする (スコア:1)
はははは…。
https://it.srad.jp/story/19/03/13/0457206/ [it.srad.jp]
IT従事者でもこのざまなのに、ガチ素人相手にシステム運用してる社内SEとしては、そんな正論空しいだけだな。
Re: (スコア:0)
初期パスワード渡して変えてもらうようなシステムならよいのだが、そうもいかないシステムでユーザに希望するパスワードを提出してもらうと、
それ他のサービスでも使いまわしてるだろ…みたいなパスワードを無邪気に提出してくるので知るのが怖い。
Re: (スコア:0)
銀行口座の乱数表カードっていろいろ考えられてるなと気づかされるな。
口座ごとに固有のものだから使いまわしできないし、書留で郵送することで二段階認証にもなっている。
ただしログインのたびに乱数表見るのはめんどくさすぎるので、振り込みなどの一部のオペレーションのみに要求されるsudo的な位置づけか。