SSH klient pod Win s podporou tokenu?

SSH klient pod Win s podporou tokenu?
« kdy: 18. 03. 2024, 16:32:38 »
Stojím před problémem, jak se bezpečně připojit na SSH serveru z teoreticky kompromitovaného Windows.
Neřešme prosím varianty jak to obejít vlastním HW/RPI, apod.
Pokud nemám jinou možnost, než pracovat takto, napadlo mě vygenerovat si klíč v tokenu, ale ce se týká Windows, znám jen Putty a dál se neorientuju.
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)


Re:SSH klient pod Win s podporou tokenu?
« Odpověď #1 kdy: 18. 03. 2024, 16:57:02 »
Stojím před problémem, jak se bezpečně připojit na SSH serveru z teoreticky kompromitovaného Windows.
Neřešme prosím varianty jak to obejít vlastním HW/RPI, apod.
Pokud nemám jinou možnost, než pracovat takto, napadlo mě vygenerovat si klíč v tokenu, ale ce se týká Windows, znám jen Putty a dál se neorientuju.

Windows 10 obsahují OpenSSH server/klient jako volitelné komponenty. Takhle ověříte zda a co máte případně už nainstalováno:

(všechno vyžaduje admin práva)

Kód: [Vybrat]
powershell.exe "Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'"
takhle nainstalujete server

Kód: [Vybrat]
powershell.exe “Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0”
a takhle klient

Kód: [Vybrat]
powershell.exe “Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0”
takhle serveru povolíte port na firewall

Kód: [Vybrat]
powershell.exe "New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22"

Re:SSH klient pod Win s podporou tokenu?
« Odpověď #2 kdy: 18. 03. 2024, 17:04:43 »
Díky, vyzkouším. "Admin" práva mám. Nicméně to neřeší samotnou bezpečnost privátního klíče...
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)

alex6bbc

  • *****
  • 1 664
    • Zobrazit profil
    • E-mail
Re:SSH klient pod Win s podporou tokenu?
« Odpověď #3 kdy: 18. 03. 2024, 17:11:03 »
ja si ve windows nainstaluju git bash for windows a mam komandlajnu s bash a ssh klientem.

Re:SSH klient pod Win s podporou tokenu?
« Odpověď #4 kdy: 18. 03. 2024, 17:29:29 »
Buď OpenSSH klient, který je přímo součástí Windows. Nebo Putty. Dnes už v tomto pořadí – OpenSSH ve Windows je už aktuální verze a ne ta historická archiválie, která tam bývala dříve. SLušný terminál už Windows také mají, takže pomalu přestává být důvod používat Putty.


Re:SSH klient pod Win s podporou tokenu?
« Odpověď #5 kdy: 18. 03. 2024, 17:33:34 »
Dobrá, otázku na ssh klienta máme pořešenou. Kam tedy uložit privátní klíč? V šuplíku mám ProID+NG čipovku, nebo Starcos 3.7 od ICA. Případně token IDEM Key...
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)

Re:SSH klient pod Win s podporou tokenu?
« Odpověď #6 kdy: 18. 03. 2024, 20:19:29 »
Nešlo by použiť OTP? https://ubuntu.com/tutorials/configure-ssh-2fa#1-overview
Bude to fungovat s ľubovolým autentifikatorom (Aegis/...)


Re:SSH klient pod Win s podporou tokenu?
« Odpověď #8 kdy: 19. 03. 2024, 19:09:16 »
Yubikey?

Pokud čtu správně, hádá se to se Smartcard, nebo jen exprimentálně. Navíc kupovat další ne úplně levný token s nejistým výsledkem se mi moc nelíbí.
Vypadá to, že Widle to prostě neumí  :(
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)

M_D

  • ****
  • 341
    • Zobrazit profil
    • E-mail
Re:SSH klient pod Win s podporou tokenu?
« Odpověď #9 kdy: 19. 03. 2024, 19:26:20 »
K Putty existují rozšíření, co dovolí použít čipovou kartu pro uložneí privátního klíče. Hodně let zpět jsem něco takového používal. Třeba PuTTY CAC, vypadá to pořád živě a s podporou pro FIDO/PCSC/CAPI/Yubi/...
https://github.com/NoMoreFood/putty-cac

Re:SSH klient pod Win s podporou tokenu?
« Odpověď #10 kdy: 19. 03. 2024, 20:41:09 »
Putty podporuje Yubikey by default (nadšeně používám), konkrétně jeho schopnost ukládání privátních GPG/PGP klíčů.

Více info třeba tady:
https://developers.yubico.com/SSH/

Re:SSH klient pod Win s podporou tokenu?
« Odpověď #11 kdy: 21. 03. 2024, 10:26:54 »
Dle: https://imbushuo.net/blog/archives/1002/
by mel jit ssh klic ulozit do TPM jez musi mit kazdy novy Win PC. Tzn. Bez nakupu dalsiho HW.