Re: [FUG-BR] Dúvida SSH
Douglas, o que é e como funciona o FINGERPRINT? On Feb 11, 2008, at 4:54 PM, CDMB . wrote: Eu sou o root do servidor, vou la nele e anoto com uma caneta em um papel sua chave; depois quando eu for na estacao cliente (UNIX+SSH ou Windows+Putty) e tento conectar-me pela primeira vez ele vai dar o aviso da troca de chaves entao eu confiro se a chave que esta no aviso 'e a mesma que eu tenho anotado no papel e aceito ou nao a conexao, correto? Boa sorte para anotar a chave, ainda mais se ela for grande. Justamente pra isso serve o fingerprint, para voce nao precisar anotar toda a chave publica do servidor. Se isto estiver correto, leva-me a crer que 'e (teoricamente) impossivel um Man In The Middle ter a chave que eu anotei no papel (copiada do servidor), estou certo? Nao e' impossivel. Mas podemos dizer que e' bastante dificil. Veja os famosos casos de manipulacao de DNS, onde os bancos sao o principal alvo. _ Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver offline. Conheça o MSN Mobile! http://mobile.live.com/signup/signup2.aspx?lc=pt-br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
On Wed, February 13, 2008 8:30 am, CDMB . wrote: Douglas, o que é e como funciona o FINGERPRINT? É uma função hash criptográfica aplicada a sua chave pública. A idéia é justamente simplificar o gerenciamento das chaves, uma vez que o fingerprint é bem menor que uma chave. Para entender melhor isso na pratica basta recorrer à alguma documentação de funções hash. Exemplo: http://en.wikipedia.org/wiki/SHA-1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH - resolvido (eu acho)
- Original Message - From: Douglas Santos [EMAIL PROTECTED] Se isto estiver correto, leva-me a crer que 'e (teoricamente) impossivel um Man In The Middle ter a chave que eu anotei no papel (copiada do servidor), estou certo? Nao e' impossivel. Mas podemos dizer que e' bastante dificil. Veja os famosos casos de manipulacao de DNS, onde os bancos sao o principal alvo. É impossível (ou muito dificil) enquanto a maquina não foi comprometida, uma vez que basta copiar a chave de um servidor comprometido para a maquina in the middle. []'s Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH - resolvido (eu acho)
On Feb 11, 2008, at 4:54 PM, CDMB . wrote: Eu sou o root do servidor, vou la nele e anoto com uma caneta em um papel sua chave; depois quando eu for na estacao cliente (UNIX+SSH ou Windows+Putty) e tento conectar-me pela primeira vez ele vai dar o aviso da troca de chaves entao eu confiro se a chave que esta no aviso 'e a mesma que eu tenho anotado no papel e aceito ou nao a conexao, correto? Boa sorte para anotar a chave, ainda mais se ela for grande. Justamente pra isso serve o fingerprint, para voce nao precisar anotar toda a chave publica do servidor. Se isto estiver correto, leva-me a crer que 'e (teoricamente) impossivel um Man In The Middle ter a chave que eu anotei no papel (copiada do servidor), estou certo? Nao e' impossivel. Mas podemos dizer que e' bastante dificil. Veja os famosos casos de manipulacao de DNS, onde os bancos sao o principal alvo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida SSH
Bom dia a todos. Sempre houve algo em relação ao openSSH que me intrigou: Eu tenho um servidor com o FreeBSD rodando sshd (normal), quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de chaves se eu respondo Sim ele me abre o login e pronto, digito o usuário e senha e tô conectado no servidor... A questão é: pra que essa troca de chaves?! Um invasor pode responder Sim que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. Acho que seria considerado segurança se eu criasse uma chave no meu PC Windows e o root do servidor acrescentasse ela nele. Espero ter sido claro em minha questão. Abraço a todos. Akkamai Kalil Shami _ Conheça o Windows Live Spaces, a rede de relacionamentos do Messenger! http://www.amigosdomessenger.com.br/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH - resolvido (eu acho)
Agradeco a todos os que responderam sobre meu questionamento. Observem se eu entendi a questao: Eu sou o root do servidor, vou la nele e anoto com uma caneta em um papel sua chave; depois quando eu for na estacao cliente (UNIX+SSH ou Windows+Putty) e tento conectar-me pela primeira vez ele vai dar o aviso da troca de chaves entao eu confiro se a chave que esta no aviso 'e a mesma que eu tenho anotado no papel e aceito ou nao a conexao, correto? Se isto estiver correto, leva-me a crer que 'e (teoricamente) impossivel um Man In The Middle ter a chave que eu anotei no papel (copiada do servidor), estou certo? Abraco a todos. Akkamai Kalil Shami _ Veja mapas e encontre as melhores rotas para fugir do trânsito com o Live Search Maps! http://www.livemaps.com.br/index.aspx?tr=true - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
Fiz um tutorial básico de chaves com o ssh + putty da uma lida. http://biosystems.ath.cx:8080/wiki/doku.php?id=manuais:sshkeys Em 11/02/08, Lutieri G.[EMAIL PROTECTED] escreveu: Em 11/02/08, CDMB .[EMAIL PROTECTED] escreveu: Bom dia a todos. , por exemplo) e desse PC -- -=-=-=-=-=-=-=-=-=- William David Armstrong .Of course it runs Bio Systems Security Networking |== MSN / GT [EMAIL PROTECTED] ' OpenBSD or FreeBSD -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
Em 11/02/08, CDMB .[EMAIL PROTECTED] escreveu: Bom dia a todos. Sempre houve algo em relação ao openSSH que me intrigou: Eu tenho um servidor com o FreeBSD rodando sshd (normal), quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de chaves se eu respondo Sim ele me abre o login e pronto, digito o usuário e senha e tô conectado no servidor... A questão é: pra que essa troca de chaves?! Um invasor pode responder Sim que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. Tu está na verdade aceitando a chave desse servidor no teu cliente! Mas isso não é garantia de segurança. E tem uma questão de um tipo de ataque. man in the middle. Mas agora não sei dizer sobre isso. Acho que seria considerado segurança se eu criasse uma chave no meu PC Windows e o root do servidor acrescentasse ela nele. Essa confiança de chaves pode ser feita. Inclusive sem senhas. Apenas com a troca de chaves. Espero ter sido claro em minha questão. Abraço a todos. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 CDMB . wrote: | Bom dia a todos. | Sempre houve algo em relação ao openSSH que me intrigou: | Eu tenho um servidor com o FreeBSD rodando sshd (normal), | quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de chaves se eu respondo Sim ele me abre o login e pronto, digito o usuário e senha e tô conectado no servidor... | A questão é: pra que essa troca de chaves?! Um invasor pode responder Sim que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. | Acho que seria considerado segurança se eu criasse uma chave no meu PC Windows e o root do servidor acrescentasse ela nele. | | Espero ter sido claro em minha questão. | | Abraço a todos. | | Akkamai Kalil Shami Me corrijam se eu estiver errado, mas se não me engano, essa pergunta que o Putty e outros clientes SSH fazem é pra você ter certeza de que está conectando no servidor correto, pra evitar que você digite sua senha para os outros. Tanto que se você formatar um servidor ou passar o IP dele pra outra máquina, o cliente SSH vai avisar que a chave está alterada e é provável que você esteja sendo vítima de um man in the middle. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHsF9oXL+vuN2d7ZwRApduAJsEKd7McEEJ2BL0C2UTfWubz0q9awCfdL8K nVTFPQMMiDFLIVqERnD+GNo= =ua/+ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida SSH
2008/2/11 CDMB . [EMAIL PROTECTED]: Eu tenho um servidor com o FreeBSD rodando sshd (normal), quando me conecto de um outro PC (Windows com o Putty, por exemplo) e desse PC eu não havia me conectado antes ele me dá uma mensagem sobre a troca de chaves se eu respondo Sim ele me abre o login e pronto, digito o usuário e senha e tô conectado no servidor... A questão é: pra que essa troca de chaves?! Um invasor pode responder Sim que o PC passa a ser confiável do mesmo modo. Fica parecendo meio inútil já que eu tenho de digitar usuário e senha do mesmo jeito. Pare conectar a um servidor é preciso ter a chave pública dele. Se tu não a tiveres o servidor a enviará e o ssh (ou putty, etc) perguntará se tu queres aceitá-la. Fica a teu critério dizer sim ou não. Ter a chave do servidor serve como medida de segurança no caso de alguém ter se apoderado do endereço da máquina (IP spoofing) ou de algum gateway que exista no caminho (man-in-the-middle attack). Se quiseres ter segurança absoluta então tu deves obter a chave do servidor de uma maneira confiável e instalá-la manualmente no repositório de cada usuário (*). Acho que seria considerado segurança se eu criasse uma chave no meu PC Windows e o root do servidor acrescentasse ela nele. Isso inverteria a lógica da operação do sshd. A idéia é que o servidor seja confiável para os clientes, não o contrário. Lembra que no caso do servidor existe apenas um sshd por máquina; muitos usuários, porém, podem iniciar conexões a partir de uma mesma máquina. Se quiseres forçar o servidor a aceitar apenas conexões de usuários conhecidos então desabilita autenticação via PAM e senha, forçando todo mundo a autenticar via chaves públicas e privadas. Isso não é ineentemente mais seguro do que autenticação com senha, mas pelo menos te garante que quem entrou no sistema tem uma chave privada cuja chave pública correspondente já está instalada. Resta o problema de instalar pela primeira vez a chave pública de cada usuário, o que nos leva ao mesmo problema de quem veio primeiro, o ovo ou a galinha?, assinalado acima (*). -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
