Niektóre z moich systemów Linux i FreeBSD mają dziesiątki użytkowników. Personel użyje tych węzłów „bramy SSH” do SSH na innych serwerach wewnętrznych.
Obawiamy się, że niektóre z tych osób używają niezaszyfrowanego prywatnego klucza SSH (klucz bez hasła . Jest to złe , ponieważ jeśli włamywacz kiedykolwiek uzyska dostęp do swojego konta na tym komputerze, może ukraść klucz prywatny i mieć teraz dostęp na dowolnym komputerze, który używa tego samego klucza. Ze względów bezpieczeństwa wymagamy od wszystkich użytkowników szyfrowania ich prywatnych kluczy SSH za pomocą hasła.
Skąd mam wiedzieć, czy klucz prywatny nie jest zaszyfrowany (np. Nie zawiera hasła)? Czy istnieje inna metoda, aby to zrobić w przypadku klucza pancernego ASCII, a nie klucza pancernego ASCII?
Aktualizacja:
Aby to wyjaśnić, załóżmy, że mam dostęp administratora do komputera i mogę odczytać klucze prywatne wszystkich osób.
Odpowiedzi:
Cóż, prywatne klucze OpenSSH z pustymi hasłami nie są w rzeczywistości szyfrowane.
Zaszyfrowane klucze prywatne są zadeklarowane jako takie w pliku klucza prywatnego. Na przykład:
Coś w stylu
powinien załatwić sprawę.
źródło
-L
flaga zawiera tylko te nazwy plików, które nie pasują do wzorca. Ta odpowiedź jest poprawna sama w sobie.Rozejrzałem się za tym i nigdy nie znalazłem satysfakcjonującej odpowiedzi, ale udało mi się zbudować jedną, więc ...
Pamiętaj, że spowoduje to zaktualizowanie pliku, jeśli działa, więc jeśli próbujesz nie zostać zauważonym przez użytkowników, których klucze testujesz, możesz najpierw skopiować klucz. OTOH, skoro właśnie złapałeś swojego użytkownika kluczem bez hasła, być może nie obchodzi Cię, jeśli zauważy. :RE
źródło
-N ''
zamiast tego, aby hasło zawsze pozostało niezmienione?Jeśli masz dostęp do klucza prywatnego, przypuszczam, że możesz go użyć bez hasła do uwierzytelnienia na kluczu publicznym. Jeśli to działa, wiesz, że nie ma hasła. Gdyby tak było, wyświetlałby komunikat o błędzie.
Jeśli nie masz dostępu do klucza prywatnego, wątpię, czy możesz to wykryć. Hasło ma na celu „odblokowanie” klucza prywatnego, nie ma żadnej funkcji w odniesieniu do klucza publicznego.
W rzeczywistości, gdyby tak było, spowodowałoby to, że system byłby mniej bezpieczny. Można użyć klucza publicznego, który jest dostępny, aby spróbować wykonać brutalną siłę lub inne ataki próbujące złamać hasło.
źródło