On 2008.12.18 at 23:43:09 +0300, Alexey Pechnikov wrote: > Hello! > > > Ну так это PasswordAuthentication no > > в /etc/sshd/sshd_config. > > И пусть уподбираются. Естественно, на каждом носимом с собой устройстве > > (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный > > ключ, который в случае утраты данного устройства можно оперативно из > > всех authorized_keys поотрывать. > > Как это сделать? Вы помните наизусть записи для всех устройств и можете их > найти в known_hosts?
Не путаем known_hosts и authorized_keys. В последнем, кстати, в конце строчки ключа обычно присутствует hostname машины, на котором он генерировался. А уж hostname своих устройств я помню. > > В такой конфигурации у меня, любимого есть возможность попасть на машину > > из любой кафешки с wi-fi и через GPRS любого сотового оператора. > > А супостату для этого потребуется > > 1. Стырить мой ноутбук/телефон/наладонник > > 2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и > > оторву соответствующие ключи воспользовавшись доступом с другого > > носимого устройства. > > А как вы зайдете с _чужого_ компьютера или устройства? > о паролю вход запрещен, а свой ключ А зачем? У меня своих устройств откуда я могу зайти в норме с собой три. > копировать на ненадежную машину и вводить на ней же пассфразу > неразумно. Опять же, если устройство Вводить пароль с ненадежной машины неменее неразумно. Если там keylogger стоит, поимеют с тем же самым успехом. Если keylogger-а там нету а ключ за собой сотрешь, не поимеют точно так же. > потеряется или флэшка с ключом сдохнет, на сервер попасть не удастся > _никогда_. Почему никогда? Генерируешь новый ключ, шлешь его по email-у, jabber-у или ножками приносишь к другому человеку, который имеет доступ на этот сервер и sudo/su там, и просишь положить к тебе в authorized_keys. Или просто доходишь до ближайшей стационарной машины, где у тебя тоже есть ключ, дающий право доступа на этот сервер, и копируешь ключ через неё. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
