[FUG-BR] Dúvida SSH

Carlos A. M. dos Santos unixmania em gmail.com
Segunda Fevereiro 11 13:44:29 BRST 2008


2008/2/11 CDMB . <cdmb_ em hotmail.com>:

> Eu tenho um servidor com o FreeBSD rodando sshd (normal),
> quando me conecto de um outro PC (Windows com o Putty, por exemplo)
> e desse PC eu não havia me conectado antes ele me dá uma mensagem
> sobre a troca de chaves se eu respondo "Sim" ele me abre o login e pronto,
> digito o usuário e senha e tô conectado no servidor...
>
> A questão é: pra que essa troca de chaves?! Um invasor pode responder
> "Sim" que o PC passa a ser confiável do mesmo modo. Fica parecendo
> meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito.

Pare conectar a um servidor é preciso ter a chave pública dele. Se tu
não a tiveres o servidor a enviará e o ssh (ou putty, etc) perguntará
se tu queres aceitá-la. Fica a teu critério dizer sim ou não.

Ter a chave do servidor serve como medida de segurança no caso de
alguém ter se apoderado do endereço da máquina (IP spoofing) ou de
algum gateway que exista no caminho (man-in-the-middle attack). Se
quiseres ter segurança absoluta então tu deves obter a chave do
servidor de uma maneira confiável e instalá-la manualmente no
repositório de cada usuário (*).

> Acho que seria considerado segurança se eu criasse uma chave no meu
> PC Windows e o root do servidor acrescentasse ela nele.

Isso inverteria a lógica da operação do sshd. A idéia é que o servidor
seja confiável para os clientes, não o contrário. Lembra que no caso
do servidor existe apenas um sshd por máquina; muitos usuários, porém,
podem iniciar conexões a partir de uma mesma máquina.

Se quiseres forçar o servidor a aceitar apenas conexões de usuários
conhecidos então desabilita autenticação via PAM e senha, forçando
todo mundo a autenticar via chaves públicas e privadas. Isso não é
ineentemente mais seguro do que autenticação com senha, mas pelo menos
te garante que quem entrou no sistema tem uma chave privada cuja chave
pública correspondente já está instalada. Resta o problema de instalar
pela primeira vez a chave pública de cada usuário, o que nos leva ao
mesmo problema de "quem veio primeiro, o ovo ou a galinha?",
assinalado acima (*).

-- 
Carlos A. M. dos Santos


Mais detalhes sobre a lista de discussão freebsd