Re: [FUG-BR] Dúvida SSH
On Wed, February 13, 2008 8:30 am, CDMB . wrote: > Douglas, > o que é e como funciona o FINGERPRINT? É uma função hash criptográfica aplicada a sua chave pública. A idéia é justamente simplificar o gerenciamento das chaves, uma vez que o fingerprint é bem menor que uma chave. Para entender melhor isso na pratica basta recorrer à alguma documentação de funções hash. Exemplo: http://en.wikipedia.org/wiki/SHA-1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
Douglas, o que é e como funciona o FINGERPRINT? > On Feb 11, 2008, at 4:54 PM, CDMB . wrote:> > Eu sou o root do servidor, vou > la nele e anoto com uma> > caneta em um papel sua chave; depois quando eu > for na> > estacao cliente (UNIX+SSH ou Windows+Putty) e tento> > conectar-me > pela primeira vez ele vai dar o aviso da> > troca de chaves entao eu confiro > se a chave que esta no> > aviso 'e a mesma que eu tenho anotado no papel e > aceito> > ou nao a conexao, correto?> > Boa sorte para anotar a chave, ainda > mais se ela for grande.> > Justamente pra isso serve o fingerprint, para > voce nao precisar> anotar toda a chave publica do servidor.> > > Se isto > estiver correto, leva-me a crer que 'e (teoricamente)> > impossivel um Man > In The Middle ter a chave que eu anotei> > no papel (copiada do servidor), > estou certo?> > Nao e' impossivel. Mas podemos dizer que e' bastante > dificil.> Veja os famosos casos de manipulacao de DNS, onde os> bancos sao o > principal alvo. _ Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver offline. Conheça o MSN Mobile! http://mobile.live.com/signup/signup2.aspx?lc=pt-br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH - resolvido (eu acho)
- Original Message - From: "Douglas Santos" <[EMAIL PROTECTED]> > Se isto estiver correto, leva-me a crer que 'e (teoricamente) > impossivel um Man In The Middle ter a chave que eu anotei > no papel (copiada do servidor), estou certo? Nao e' impossivel. Mas podemos dizer que e' bastante dificil. Veja os famosos casos de manipulacao de DNS, onde os bancos sao o principal alvo. É impossível (ou muito dificil) enquanto a maquina não foi comprometida, uma vez que basta copiar a chave de um servidor comprometido para a maquina "in the middle". []'s Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH - resolvido (eu acho)
On Feb 11, 2008, at 4:54 PM, CDMB . wrote: > Eu sou o root do servidor, vou la nele e anoto com uma > caneta em um papel sua chave; depois quando eu for na > estacao cliente (UNIX+SSH ou Windows+Putty) e tento > conectar-me pela primeira vez ele vai dar o aviso da > troca de chaves entao eu confiro se a chave que esta no > aviso 'e a mesma que eu tenho anotado no papel e aceito > ou nao a conexao, correto? Boa sorte para anotar a chave, ainda mais se ela for grande. Justamente pra isso serve o fingerprint, para voce nao precisar anotar toda a chave publica do servidor. > Se isto estiver correto, leva-me a crer que 'e (teoricamente) > impossivel um Man In The Middle ter a chave que eu anotei > no papel (copiada do servidor), estou certo? Nao e' impossivel. Mas podemos dizer que e' bastante dificil. Veja os famosos casos de manipulacao de DNS, onde os bancos sao o principal alvo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH - resolvido (eu acho)
Agradeco a todos os que responderam sobre meu questionamento. Observem se eu entendi a questao: Eu sou o root do servidor, vou la nele e anoto com uma caneta em um papel sua chave; depois quando eu for na estacao cliente (UNIX+SSH ou Windows+Putty) e tento conectar-me pela primeira vez ele vai dar o aviso da troca de chaves entao eu confiro se a chave que esta no aviso 'e a mesma que eu tenho anotado no papel e aceito ou nao a conexao, correto? Se isto estiver correto, leva-me a crer que 'e (teoricamente) impossivel um Man In The Middle ter a chave que eu anotei no papel (copiada do servidor), estou certo? Abraco a todos. Akkamai Kalil Shami _ Veja mapas e encontre as melhores rotas para fugir do trânsito com o Live Search Maps! http://www.livemaps.com.br/index.aspx?tr=true - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
2008/2/11 CDMB . <[EMAIL PROTECTED]>: > Eu tenho um servidor com o FreeBSD rodando sshd (normal), > quando me conecto de um outro PC (Windows com o Putty, por exemplo) > e desse PC eu não havia me conectado antes ele me dá uma mensagem > sobre a troca de chaves se eu respondo "Sim" ele me abre o login e pronto, > digito o usuário e senha e tô conectado no servidor... > > A questão é: pra que essa troca de chaves?! Um invasor pode responder > "Sim" que o PC passa a ser confiável do mesmo modo. Fica parecendo > meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. Pare conectar a um servidor é preciso ter a chave pública dele. Se tu não a tiveres o servidor a enviará e o ssh (ou putty, etc) perguntará se tu queres aceitá-la. Fica a teu critério dizer sim ou não. Ter a chave do servidor serve como medida de segurança no caso de alguém ter se apoderado do endereço da máquina (IP spoofing) ou de algum gateway que exista no caminho (man-in-the-middle attack). Se quiseres ter segurança absoluta então tu deves obter a chave do servidor de uma maneira confiável e instalá-la manualmente no repositório de cada usuário (*). > Acho que seria considerado segurança se eu criasse uma chave no meu > PC Windows e o root do servidor acrescentasse ela nele. Isso inverteria a lógica da operação do sshd. A idéia é que o servidor seja confiável para os clientes, não o contrário. Lembra que no caso do servidor existe apenas um sshd por máquina; muitos usuários, porém, podem iniciar conexões a partir de uma mesma máquina. Se quiseres forçar o servidor a aceitar apenas conexões de usuários conhecidos então desabilita autenticação via PAM e senha, forçando todo mundo a autenticar via chaves públicas e privadas. Isso não é ineentemente mais seguro do que autenticação com senha, mas pelo menos te garante que quem entrou no sistema tem uma chave privada cuja chave pública correspondente já está instalada. Resta o problema de instalar pela primeira vez a chave pública de cada usuário, o que nos leva ao mesmo problema de "quem veio primeiro, o ovo ou a galinha?", assinalado acima (*). -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
Fiz um tutorial básico de chaves com o ssh + putty da uma lida. http://biosystems.ath.cx:8080/wiki/doku.php?id=manuais:sshkeys Em 11/02/08, Lutieri G.<[EMAIL PROTECTED]> escreveu: > Em 11/02/08, CDMB .<[EMAIL PROTECTED]> escreveu: > > > > Bom dia a todos. , por exemplo) e desse PC -- -=-=-=-=-=-=-=-=-=- William David Armstrong <.Of course it runs Bio Systems Security Networking <|== MSN / GT [EMAIL PROTECTED] <' OpenBSD or FreeBSD -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
Em 11/02/08, CDMB .<[EMAIL PROTECTED]> escreveu: > > Bom dia a todos. > Sempre houve algo em relação ao openSSH que me intrigou: > Eu tenho um servidor com o FreeBSD rodando sshd (normal), > quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse > PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de > chaves se eu respondo "Sim" ele me abre o login e pronto, digito o usuário e > senha e tô conectado no servidor... > A questão é: pra que essa troca de chaves?! Um invasor pode responder "Sim" > que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já > que eu tenho de digitar usuário e senha do mesmo jeito. Tu está na verdade aceitando a chave desse servidor no teu cliente! Mas isso não é garantia de segurança. E tem uma questão de um tipo de ataque. man in the middle. Mas agora não sei dizer sobre isso. > Acho que seria considerado segurança se eu criasse uma chave no meu PC > Windows e o root do servidor acrescentasse ela nele. Essa confiança de chaves pode ser feita. Inclusive sem senhas. Apenas com a troca de chaves. > > Espero ter sido claro em minha questão. > > Abraço a todos. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 CDMB . wrote: | Bom dia a todos. | Sempre houve algo em relação ao openSSH que me intrigou: | Eu tenho um servidor com o FreeBSD rodando sshd (normal), | quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de chaves se eu respondo "Sim" ele me abre o login e pronto, digito o usuário e senha e tô conectado no servidor... | A questão é: pra que essa troca de chaves?! Um invasor pode responder "Sim" que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. | Acho que seria considerado segurança se eu criasse uma chave no meu PC Windows e o root do servidor acrescentasse ela nele. | | Espero ter sido claro em minha questão. | | Abraço a todos. | | Akkamai Kalil Shami Me corrijam se eu estiver errado, mas se não me engano, essa pergunta que o Putty e outros clientes SSH fazem é pra você ter certeza de que está conectando no servidor correto, pra evitar que você digite sua senha para os outros. Tanto que se você formatar um servidor ou passar o IP dele pra outra máquina, o cliente SSH vai avisar que a chave está alterada e é provável que você esteja sendo vítima de um man in the middle. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHsF9oXL+vuN2d7ZwRApduAJsEKd7McEEJ2BL0C2UTfWubz0q9awCfdL8K nVTFPQMMiDFLIVqERnD+GNo= =ua/+ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida SSH
Bom dia a todos. Sempre houve algo em relação ao openSSH que me intrigou: Eu tenho um servidor com o FreeBSD rodando sshd (normal), quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de chaves se eu respondo "Sim" ele me abre o login e pronto, digito o usuário e senha e tô conectado no servidor... A questão é: pra que essa troca de chaves?! Um invasor pode responder "Sim" que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. Acho que seria considerado segurança se eu criasse uma chave no meu PC Windows e o root do servidor acrescentasse ela nele. Espero ter sido claro em minha questão. Abraço a todos. Akkamai Kalil Shami _ Conheça o Windows Live Spaces, a rede de relacionamentos do Messenger! http://www.amigosdomessenger.com.br/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd