Câu hỏi Có chứng chỉ SSL làm cho các kết nối ssh / sftp tự động hơn không?


Khi tôi đăng nhập vào một máy mới (hoặc từ một máy tính mới) bằng cách sử dụng ssh / sftp, tôi được nhắc với "đây là chuỗi ký tự hex ngẫu nhiên này, tôi có nên tin tưởng nó không?" câu hỏi. Và, vì tôi chưa bao giờ có những thứ phù hợp trước mặt để tìm hiểu xem chữ ký có tốt hay không, tôi thường nghĩ về mạng được sử dụng và quyết định tương ứng - có lẽ sẽ đi xa như chấp nhận chữ ký mà không thực sự đăng nhập và sau đó so sánh nó với những chữ ký cần phải được tìm thấy trên các máy khác / thông tin đăng nhập .ssh.

Nếu tôi nhận được chứng chỉ SSL cho máy đích "mới" của mình (ví dụ: một trong số $ 4.99 từ một trong nhiều nhà cung cấp trên web), tôi có thể sử dụng nó để làm cho quá trình này an toàn hơn / không đau (như, liệu "Bạn có muốn tin tưởng rằng máy này là người mà nó nói nó là" nhanh chóng biến mất)? Hoặc là hai (SSL và ssh / sftp) hoàn toàn rời rạc?


2
2018-03-06 16:58


gốc




Các câu trả lời:


Không, SSH không sử dụng giao thức SSL, cũng như chứng chỉ X.509.

Bên cạnh đó, ngay cả khi nó đã làm, bạn sẽ cần phải đăng nhập qua SSH để cài đặt, dựng lên chứng chỉ SSL cho máy chủ của bạn, điều này sẽ đánh bại toàn bộ vấn đề - ít nhất là trong trường hợp "khi tôi đăng nhập vào máy mới".

Nếu bạn thường xuyên thiết lập máy chủ mới, hãy viết tập lệnh sẽ truy vấn dấu vân tay của máy chủ đã cho từ nhiều vị trí khác nhau (ví dụ: sử dụng pssh và ssh-keyscan). Nếu tất cả các vị trí đều nhìn thấy cùng một dấu vân tay, thì bạn ổn.

Nếu bạn thường xuyên kết nối từ các máy tính không đáng tin cậy, hãy chọn một trong các máy chủ của bạn để hoạt động như một "cổng", ghi lại dấu vân tay và mang nó vào ví / điện thoại của bạn / bất kỳ thứ gì; sau đó thực hiện tất cả các kết nối chỉ qua máy chủ đó.


Lưu ý phụ: OpenSSH 6.x làm có định dạng chứng chỉ riêng, nhưng nó không tích hợp với X.509 PKI hiện có và chỉ hỗ trợ một cấp "quyền hạn", vì vậy nó chỉ hữu ích khi kết nối với các máy chủ đã được thiết lập từ một máy khách đã được cấu hình.

Nhược điểm tương tự - sự cần thiết phải cấu hình rõ ràng - cũng áp dụng cho sự hỗ trợ của OpenSSH để xác minh dấu vân tay trên DNSSEC.

Cuối cùng, có tồn tại một vài bản vá lỗi khi sử dụng X.509 trong SSH - một trong những được sử dụng bởi US DoD, được sử dụng bởi Globus Toolkit (GSI-SSH), có thể là những người khác - nhưng tất cả đều có cùng một vấn đề như trên: nó chỉ trở thành tự động hơn khi được triển khai trong các tổ chức lớn. Cố gắng thiết lập GSI-SSH ở nhà sẽ không giúp bạn tiết kiệm thời gian, chỉ lãng phí nhiều hơn.


4
2018-03-06 17:22