大家在 debian/ubuntu 下如何管理 ssh 密码

我现在用密钥管理软件的是keepassX，terminal用的是tilda（看重的是全局F2呼出和透明效果）

但是现在问题就来了，因为是随机生成的密码记不住，不能很方便地在keepassX里连接ssh，每次都要从keepassX里复制然后到tilda里粘贴....

用private key免密码登陆，安全性是一个问题...

难道要写个脚本，然后用keepassX的cmd命令传递ssh用户名和密码到tilda里？

大家有没有更好的办法？

ryd994

2014-09-20 13:37:36 +08:00

@Radeon 请先查查suduer文件能控制什么………………

ryd994

2014-09-20 13:38:00 +08:00

不好意思打错sudoers

Radeon

2014-09-20 13:40:56 +08:00

@ryd994 不管sudoer能做什么。一个系统只需要低权限登录账号和root账号就可以管理，任何多余的机制只会增加被攻击表面

Radeon

2014-09-20 13:42:48 +08:00

@ryd994 sudo机制只要输入sudoer的密码而不是root密码，这是非常可怕的，很容易流失权限控制

66450146

2014-09-20 13:50:10 +08:00

..我还以为大家都会给 private key 设置 passphrase 呢

Radeon

2014-09-20 13:58:49 +08:00

@66450146 本质上只是增加了密码获取的链条，但是没有额外的安全性

onemoo

2014-09-20 14:08:07 +08:00

@Radeon
我们说私钥安全，你说私钥可能泄露。
我们说私钥+密语安全，你说密码也不安全。
那你只用密码岂不更不安全！

你用密码管理软件也只是“增加了密码获取的链条，但是没有额外的安全性”，你还是把超长的密码记在脑子里吧...

Radeon

2014-09-20 14:11:12 +08:00

@onemoo 临时输入的密码明显比一直留在硬盘上的可以读取的密码安全。输入的密码只要排除key logger和shell history就可以了，这个很容易排除

fany

2014-09-20 14:14:33 +08:00

@yylzcom 楼主可以看看兽兽这篇文章呀！http://ttt.tt/104/

66450146

2014-09-20 14:28:41 +08:00

@Radeon private key + passphrase 可以非常有效地防御穷举攻击，不知道“没有额外的安全性”这话从何说起。一个临时输入的密码不会比一个保存的密钥额外加上一个临时输入的密码安全，例如前者就无法防御中间人攻击。

绝对的安全性是不存在的。每一点安全性的增加，都会提高入侵的成本。当入侵的成本明显小于收益的时候，这个系统就可以说是基本安全的。

ttimasdf

2014-09-20 15:09:52 +08:00

额，没有人提到keepass是可以增加otp加密数据库的？你要想的话，把keepass的数据库用那种小玩意加密，然后设备扔到保险箱不就好了么。。嫌费钱直接用Google Authencator也行啊。。

但是这个，用密码登录很都比啊……

私钥的话，只要保证包含privatekey的主机物理安全就好了。楼上都说过了。
no zuo no die =w=

ctexlive

2014-09-20 15:26:22 +08:00

@Radeon 你好像不懂sudo能干什么。而且ssh用私钥是为了避免网络上的劫持监听，而不是本地安全。

kafkakevin

2014-09-20 15:27:05 +08:00

@Radeon 私钥权限是400（or 600 我不太记得），文件属于某个用户，
怎么会“随便一个app都能读取呢”？

Radeon

2014-09-20 15:28:52 +08:00

@66450146 临时输入的密码也可以防御中间人攻击，这个不要搞错

Radeon

2014-09-20 15:30:17 +08:00

@kafkakevin 你开的进程继承你的uid，然后就有r权限啊

Radeon

2014-09-20 15:30:55 +08:00

@ctexlive 用临时输入的密码和用公私钥都能防止中间人攻击

ctexlive

2014-09-20 15:33:27 +08:00

用密钥加上密钥本身密码（只在本地调用密钥时临时使用，不会明文传递到网上），远远比你直接用密码登录sssh安全。这都是成熟的安全认证方。需要争论吗？

kafkakevin

2014-09-20 15:34:27 +08:00

@Radeon 没听懂。打比方，我开个shell，继承哪个的UID了？

开个什么进程能继承ssh的UID呢？

线上的服务器一直用私钥验证，没有因“私钥验证”出过安全问题。

Radeon

2014-09-20 15:35:16 +08:00

@ttimasdf 你确定你能保证你的登录机的物理安全？如果你用随身的mac做登录机你确定你的mac上每个程序都是可信的（这个我承认确实能做到）？或者别人不会在借用你的mac的时候拷走~/.ssh/？

Radeon

2014-09-20 15:37:11 +08:00

@kafkakevin 你开个shell，默认继承shell父进程的uid，最后一路回朔到login或者图形化的gui-login

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/134601

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.