Изключване на SSH password authentication

[Philip Petev]

Здравейте

Има ли начин да се изключи напълно удостоверяването през SSH с парола и да остане само удостоверяването с двойката публичен/частен ключ? След като импортирах ключ на админа (RB951G-2HnD с RouterOS 6.20), вече ми дъни грешка когато опитам да се логна без ключа (както и трябва да е принципно), но самия метод все още е активен, а е добре да се изключи, защото без него всички brute force атаки през SSH стават безпредметни. В Linux има такава възможност като настройка в конфига на SSH сървъра, но тук не видях такова нещо и след ровене из Google никъде не видях конкретно някой да каже дали може или не. Благодаря предварително!

[kokaracha]

Тц, не позна,бачка си.

Виж си правата  на директорията и на ключовете/фаиловете в нея.

ssh-add ?!

[Philip Petev]

Къде да ги гледам тия неща? Ако беше нещо с bash, добре, ама не е...

 

Edit: за клиентската машина ли говориш? Естествено, че са ми наред правата, ако не са, ssh клиента започва да дъни километрични съобщения за "прекалено ниски права". Отлично знам, че папката ~/.ssh и файловете в нея трябва да са с права 600 или 700. Пък и в случая, както писах по-горе, ключовете с каквито и права да са, не играят, защото не съм ги подал в командния ред, а присъстващите, които намира, въобще не са за това място, накратко приемаме, че все едно ги няма.

 

Пък и в момента темата на разговора не е клиента, а сървъра (SSH услугата на RouteOS) и това защо прави такива глупости. Тия едни и същи филми ги наблюдавам с ssh под Linux и OS X, както и с PuTTY под Windows. Както отбелязах по-горе, мирише ми на feature request в официалния форум на MikroTik.

Редактирано 13 Октомври, 2014 от Philip Petev

[kokaracha]

ssh-add изпълни ли ?!

Както отбелязах по-горе,имасх проблеми с клиентската си машина

 

[Philip Petev]

Човек, май говорим за различни неща. Нямам проблем с оторизацията с ключа, работи както си трябва. Проблема е, че без него пак иска паролата на потребителя, а според мен не трябва да е така, а директно да те реже. Както знаеш, това се определя в конфига на SSH сървъра и под Linux знам как се прави, но под RouterOS, където нямам достъп до реалния конфиг на SSH услугата, явно не може да стане, няма и такава опция за пълно изключване на SSH оторизацията с парола в интерфейса.

Според няколко източника, вкл. официалния форум, когато се импортира ключ на даден потребител, оторизацията с парола се изключва и действително така става, иска ми парола (въпреки че за какво трябва да ми я иска, като този метод би трябвало да е спрян), но когато я въведа, не я приема, а когато махна ключа, започва да я приема, но това не е според мен начина, по който трябва да работи. Затова преди малко пуснах един feature request в официалния форум, дано някой да обърне внимание.

Съвсем отделен въпрос е, че тия умници бива да вземат да ъпдейтнат малко криптировката, защото 1024 битов DSA ключ вече съвсем не се счита за чак толкова надежден, а изглежда това е единствения формат, който приема RouterOS.

Редактирано 13 Октомври, 2014 от Philip Petev

[111111]

Няма опция за логин само със сертификатен ключ
без потребител и парола 
или си смени порта или опиши кои адреси може да достъпват порта

[Philip Petev]

Да, да, това го разбрах, обяснявах на колегата...

[kokaracha]

Да, да, това го разбрах, обяснявах на колегата...

 

Недоглеждане от моя стране,сорка.