Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: aigor.net 18. 03. 2024, 16:32:38
-
Stojím před problémem, jak se bezpečně připojit na SSH serveru z teoreticky kompromitovaného Windows.
Neřešme prosím varianty jak to obejít vlastním HW/RPI, apod.
Pokud nemám jinou možnost, než pracovat takto, napadlo mě vygenerovat si klíč v tokenu, ale ce se týká Windows, znám jen Putty a dál se neorientuju.
-
Stojím před problémem, jak se bezpečně připojit na SSH serveru z teoreticky kompromitovaného Windows.
Neřešme prosím varianty jak to obejít vlastním HW/RPI, apod.
Pokud nemám jinou možnost, než pracovat takto, napadlo mě vygenerovat si klíč v tokenu, ale ce se týká Windows, znám jen Putty a dál se neorientuju.
Windows 10 obsahují OpenSSH server/klient jako volitelné komponenty. Takhle ověříte zda a co máte případně už nainstalováno:
(všechno vyžaduje admin práva)
powershell.exe "Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'"
takhle nainstalujete server
powershell.exe “Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0”
a takhle klient
powershell.exe “Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0”
takhle serveru povolíte port na firewall
powershell.exe "New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22"
-
Díky, vyzkouším. "Admin" práva mám. Nicméně to neřeší samotnou bezpečnost privátního klíče...
-
ja si ve windows nainstaluju git bash for windows a mam komandlajnu s bash a ssh klientem.
-
Buď OpenSSH klient, který je přímo součástí Windows. Nebo Putty. Dnes už v tomto pořadí – OpenSSH ve Windows je už aktuální verze a ne ta historická archiválie, která tam bývala dříve. SLušný terminál už Windows také mají, takže pomalu přestává být důvod používat Putty.
-
Dobrá, otázku na ssh klienta máme pořešenou. Kam tedy uložit privátní klíč? V šuplíku mám ProID+NG čipovku, nebo Starcos 3.7 od ICA. Případně token IDEM Key...
-
Nešlo by použiť OTP? https://ubuntu.com/tutorials/configure-ssh-2fa#1-overview
Bude to fungovat s ľubovolým autentifikatorom (Aegis/...)
-
Yubikey?
https://developers.yubico.com/SSH/
https://developers.yubico.com/PGP/SSH_authentication/Windows.html
-
Yubikey?
Pokud čtu správně, hádá se to se Smartcard, nebo jen exprimentálně. Navíc kupovat další ne úplně levný token s nejistým výsledkem se mi moc nelíbí.
Vypadá to, že Widle to prostě neumí :(
-
K Putty existují rozšíření, co dovolí použít čipovou kartu pro uložneí privátního klíče. Hodně let zpět jsem něco takového používal. Třeba PuTTY CAC, vypadá to pořád živě a s podporou pro FIDO/PCSC/CAPI/Yubi/...
https://github.com/NoMoreFood/putty-cac
-
Putty podporuje Yubikey by default (nadšeně používám), konkrétně jeho schopnost ukládání privátních GPG/PGP klíčů.
Více info třeba tady:
https://developers.yubico.com/SSH/
-
Dle: https://imbushuo.net/blog/archives/1002/
by mel jit ssh klic ulozit do TPM jez musi mit kazdy novy Win PC. Tzn. Bez nakupu dalsiho HW.