大家在 debian/ubuntu 下如何管理 ssh 密码

2014-09-20 10:00:05 +08:00
 yylzcom
我现在用密钥管理软件的是keepassX,terminal用的是tilda(看重的是全局F2呼出和透明效果)

但是现在问题就来了,因为是随机生成的密码记不住,不能很方便地在keepassX里连接ssh,每次都要从keepassX里复制然后到tilda里粘贴....

用private key免密码登陆,安全性是一个问题...

难道要写个脚本,然后用keepassX的cmd命令传递ssh用户名和密码到tilda里?

大家有没有更好的办法?
8834 次点击
所在节点    Linux
100 条回复
gamexg
2014-09-20 10:49:20 +08:00
用private key免密码登陆,安全性是一个问题...

这个居然安全性问题??
yylzcom
2014-09-20 10:55:48 +08:00
@gamexg 不好意思,没说清楚,是怕私钥泄露……
lhbc
2014-09-20 11:03:30 +08:00
私钥是可以设置密码的……
Radeon
2014-09-20 11:03:33 +08:00
@gamexg 用private key一点也不安全。随便什么应用都能读 ~/.ssh/下面的文件
ryd994
2014-09-20 11:03:33 +08:00
@yylzcom
1. 私钥是有密码的,如果用得多可以ssh-add暂时解开,重启又锁上
2. 要安全,第一就是物理隔离,自己的电脑不要让别人沾手
3. 严格权限隔离,sudo之前认真想清楚
ryd994
2014-09-20 11:06:38 +08:00
@Radeon
不见得吧,除了乱七八糟的软件,正常系统服务都是自有用户的。
至于乱七八糟的软件……linux下不开源的尽量不用
另外,chown到另一个禁止登录的用户,要用的时候sudo过去也是不错的主意
Radeon
2014-09-20 11:07:44 +08:00
@ryd994 智者千虑必有一失
ryd994
2014-09-20 11:20:00 +08:00
@Radeon 不好意思,我还没见过值得这样纠结安全的。
如果你想万无一失,请务必遵守安全第一准则:物理安全。
用单独的安全主机进行登录,只允许内网登录,
甚至直接塞进保险柜,才是真正可靠的办法。

私钥定期更换,勤查日志,这是基础中的基础。
ffffwh
2014-09-20 12:15:09 +08:00
@Radeon
读 ~/.ssh 这个无解吧,真碰上恶意软件还能监听键盘呢。
sdysj
2014-09-20 12:23:08 +08:00
用 SSH Agent 之类的管理器就行了,keepass 有插件的我记得。 keepassx 就不要期望有什么解决方案了。
Radeon
2014-09-20 12:36:56 +08:00
@ryd994 @ffffwh

你们误解我的意思了。防~/.ssh/不被第三方软件读取的难度和防键盘监听器/物理安全的难度不是一个层次的。我假设你们日常使用Mac,目前很少有人用Mac只从AppStore装软件。假设处于新奇测试了一个AppStore之外的软件/桌面Widget呢,由于对方是二进制不开源的,是否读取~/.ssh是很难觉察的,一旦有损失是很大的
ryd994
2014-09-20 13:20:00 +08:00
@Radeon 所以安全用户,或者安全主机是很有用的,我上面已经说了。sudo的作用不只是sudo到root。定期更换私钥,检查登录日志更是基本中的基本。用密码登录就不怕读取了?只要不是hash,就都有解密的可能。
Radeon
2014-09-20 13:21:54 +08:00
@ryd994 sudo是完全不能用的。原来只有root有最高权限,允许sudo用户ssh的话就有一大堆可以获得root权限的路径呢
skybr
2014-09-20 13:28:16 +08:00
既然假设恶意软件能读到~/.ssh, 那通过写~/.bashrc、~/.profile、~/bin/劫持一下ssh命令捕获密码也难不到哪里去吧.
Radeon
2014-09-20 13:30:10 +08:00
@skybr 改写~下的文件容易被查出来啊,读一下~/.ssh没有记录啊
ryd994
2014-09-20 13:31:34 +08:00
@Radeon /etc/sudoer配置…………
ryd994
2014-09-20 13:32:50 +08:00
@Radeon 查改写也没那么容易,你平时有看这些文件的习惯么?
ryd994
2014-09-20 13:33:44 +08:00
@Radeon 密码登录ssh是逗比行为,正规的服务器基本都要禁止的…………
dant
2014-09-20 13:35:14 +08:00
跳板服务器
Radeon
2014-09-20 13:36:00 +08:00
@ryd994 谨慎一点的话可以看modified time,或者把对自己的w权限关掉。sudo这个机制绝对不能在生产环境用的,生产环境应该只允许最低权限的用户登录,必要时执行一下su

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/134601

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX