1
我發現文檔中的以下要求爲Net::OpenSSH:爲什麼公鑰驗證是自動腳本的首選?
注意,在自動腳本中使用密碼 認證 一個非常糟糕的主意。如果可能,您應該使用公鑰認證 代替。
在自動腳本中使用密碼驗證有什麼缺陷?
A
回答
3
密碼是容易猜出比私鑰/蠻力(除非您正在運行Debian;)
假設你有一個用戶帳戶它運行120個不同的自動腳本。如果您將密碼硬編碼到每個密碼中,則您現在有120個位置可以對其進行更改。
如果您將密碼放入配置文件並且所有120個腳本遲早會從文件中讀取它,則有人會意外地使該文件具有世界可讀性。當私鑰不是600時,ssh將不起作用。
有人可以決定更改用戶的密碼,而不必考慮它在某些腳本中被硬編碼的可能性。在更改私鑰之前,您更有可能停下來思考。
+0
當私鑰不是600時'ssh將不工作。 - 使用密碼驗證,你可以檢查你的腳本,如果配置文件是600. '有人可以決定更改用戶的密碼,考慮它在某些腳本中被硬編碼的可能性。「 - 有人可能意外地覆蓋了'.ssh/authorized_keys' – codeholic 2010-03-25 18:50:57
+2
您不能集中強制所有人編寫腳本來檢查權限,但是您可以禁用服務器上的密碼驗證然後你知道每一個訪問它的腳本都使用公鑰/私鑰對,並且沒有在世界上可讀的文件中將密碼設置爲g0d。安全的一部分是關於不相信任何人,包括你自己。絕對是同事。 – 2010-03-25 18:59:13
+1
好的,很明顯。但我想知道,除了您提到的人爲因素外,是否還有其他優勢。技術優勢,如果你願意的話。 – codeholic 2010-03-25 19:04:16
1
1
對於任何遠程資源,公鑰驗證始終應該是首選。從統計學角度來看,猜測挑戰反應並阻止MITM攻擊是不可能的。雖然這並不排除攻擊者很有可能是極其幸運。
如果攻擊者可以讀取遠程系統上的文件,則密碼或私鑰必須是純文本,並且可以讀取。不對稱密碼學不是解決所有問題的魔術棒。
文檔中出現此警告的一種可能性是,如果您使用密碼並且腳本未檢查sshd的公鑰,則MITM攻擊可能會獲得明文密碼。您應該通過對公鑰進行硬編碼來檢查遠程服務器身份驗證。 cli上的ssh命令會自動執行此操作,並在服務器密鑰更改時發出警告。如果您沒有檢查遠程服務器的身份驗證憑據並且正在使用公鑰身份驗證,那麼攻擊者只能使用MITM會話,因爲攻擊者無法獲取客戶端的私鑰以重新授權。
相關問題
- 1. 在我的自動根密碼更改腳本中實現公鑰驗證的最佳方式是什麼?
- 2. PHP驗證碼:什麼是「私鑰」和「公鑰」?
- 3. 驗證WSO2生成的JWT APIM 1.9.0:公鑰是什麼?
- 4. Ruby Net的公鑰/私鑰驗證:: SFTP
- 5. SSH公鑰驗證文件
- 6. 自動填充身份驗證腳本
- 7. 什麼行爲是首選? (嵌入Python)
- 8. VBA-Excel:如何驗證選項 - >公式是否設置爲自動?
- 9. openssl api驗證公鑰是否與私鑰匹配
- 10. 使用自定義CA公鑰文件驗證證書?
- 11. 什麼是驗證從Web應用程序訪問AWS的首選方式
- 12. 在AngularJS應用程序中驗證數據的首選方法是什麼?
- 13. 爲什麼這個字符串驗證腳本不工作?
- 14. 爲什麼ActiveRecord的自動驗證的has_many協會
- 15. 爲什麼我的自定義驗證器不會啓動?
- 16. 爲什麼公鑰算法很慢?
- 17. 什麼PHP擴展是首選?那麼安全首選項呢?
- 18. 過渡到APNS驗證密鑰的過程是什麼?
- 19. 爲什麼update_attribute啓動驗證?
- 20. 爲什麼我的RSA 2048公鑰的長度是294字節?
- 21. 使用Javascript/PHP驗證公共密鑰
- 22. SSHJ文件公鑰驗證示例
- 23. 在xml中使用公鑰驗證javax.xml.crypto.dsig
- 24. 爲什麼Exact Target FUEL SDK沒有驗證我的API密鑰?
- 25. 公鑰證書
- 26. 爲什麼是驗證爬蟲
- 27. 爲什麼後驗證是假HttpContext.Current.Request.IsAuthenticated
- 28. 驗證私鑰和公鑰RSA密鑰匹配
- 29. 使用公鑰/私鑰簽名進行身份驗證:什麼是好消息(摘要)?
- 30. 什麼是jQuery的首選模板庫?
我打算假設大多數時候自動化腳本會以容易被盜的方式存儲密碼。 – 2010-03-25 18:28:20
@Chris Marisic:私鑰也可能被盜。 – codeholic 2010-03-25 18:33:09
但私鑰本身是用密碼加密的。這不是萬無一失的,但至少還有一層。 – guns 2010-03-25 23:19:57