SSH na OpenWrt přístupy botů

vie verejny kluc klienta
kde se bere verejny kluc klienta ? Klient má privátní klič (aj ked suromy klic  je ve forme  privatni + verejny)


vie verejny kluc klienta
kde se bere verejny kluc klienta ? Klient má privátní klič (aj ked suromy klic  je ve forme  privatni + verejny)

Vygeneruje sa vacsinou pri generovani sukromneho kluca... Klient v podstate potrebuje k cinnosti len privatny kluc, ma vsak ulozeny aj verejny aby ho vedel v pripade potreby poskytnut.

k3dAR

  • *****
  • 2 883
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Vygeneruje sa vacsinou pri generovani sukromneho kluca... Klient v podstate potrebuje k cinnosti len privatny kluc, ma vsak ulozeny aj verejny aby ho vedel v pripade potreby poskytnut.
to se vygeneruje vzdy, ale pro poskytnuti neni potreba, muzes ho vytahnout z privatniho ;-)
Kód: [Vybrat]
ssh-keygen -f id_rsa -y > id_rsa.pub

_Jenda

  • *****
  • 1 591
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Vygeneruje sa vacsinou pri generovani sukromneho kluca... Klient v podstate potrebuje k cinnosti len privatny kluc, ma vsak ulozeny aj verejny aby ho vedel v pripade potreby poskytnut.
to se vygeneruje vzdy, ale pro poskytnuti neni potreba, muzes ho vytahnout z privatniho ;-)
Kód: [Vybrat]
ssh-keygen -f id_rsa -y > id_rsa.pub
On se ptal proč ho posíláš serveru. A je možné že neposíláš (musel bych si nastudovat jak to je přesně implementované a znova si osvěžit taje asymetrické kryptografie, ještě se to komplikuje že to má několik nezávislých algoritmů - RSA, ECC…). Ale v "ssh -vvv" vidíš že posíláš fingerprint, což je jasné, protože na serveru může být mnoho veřejných klíčů (extrémní případ: gitlab/github/gitolite má jednoho uživatele, a podle klíče určuje k jakým repozitářům máš přístup), a podle fingerprintu tě tamten tool identifikuje.

Re:SSH na OpenWrt přístupy botů
« Odpověď #34 kdy: 14. 10. 2022, 20:21:20 »
Ahoj, docela by mě zajímalo jestli se někomu stalo, že čelil skutečně reálnému útoku. Provozuju už několik let veřejně dva SSH servery (k čistě experimentálním účelům) na jiném portu než 22 a loguju si každý pokus o přihlášení včetně přihlašovacích údajů (k přihlášení se používá jen uživatelské jméno a heslo). Za celou dobu provozu tyto servery čelily statisícům neplatným pokusům o přihlášení. 100% těchto přihlášení se snažilo používat naprosto nesmyslné uživatelské údaje které byli sice reálné např: root root nebo ssh ssh, ale nikdy jsem neviděl že by se ten robot snažil vyloženě o uhádnutí hrubou silou. Současně bych řekl, že ten problém uhádnutí hesla je sice důležitej, ale ke každému jednomu heslu přeci existuje i uživatelské jméno, které to utočníkovi zase o něco stěžuje....nedokážu si představit, že by útočník, který o mém systému nic neví dokázal jakýmkoliv způsobem uhádnout byť jen username natož pak k němu přiřadit i příslušné heslo.


FKoudelka

Re:SSH na OpenWrt přístupy botů
« Odpověď #35 kdy: 14. 10. 2022, 20:33:19 »
Ahoj, docela by mě zajímalo jestli se někomu stalo, že čelil skutečně reálnému útoku. Provozuju už několik let veřejně dva SSH servery (k čistě experimentálním účelům) na jiném portu než 22 a loguju si každý pokus o přihlášení včetně přihlašovacích údajů (k přihlášení se používá jen uživatelské jméno a heslo). Za celou dobu provozu tyto servery čelily statisícům neplatným pokusům o přihlášení. 100% těchto přihlášení se snažilo používat naprosto nesmyslné uživatelské údaje které byli sice reálné např: root root nebo ssh ssh, ale nikdy jsem neviděl že by se ten robot snažil vyloženě o uhádnutí hrubou silou. Současně bych řekl, že ten problém uhádnutí hesla je sice důležitej, ale ke každému jednomu heslu přeci existuje i uživatelské jméno, které to utočníkovi zase o něco stěžuje....nedokážu si představit, že by útočník, který o mém systému nic neví dokázal jakýmkoliv způsobem uhádnout byť jen username natož pak k němu přiřadit i příslušné heslo.
Jj, jedna větší firma (můj známý) byla takto hacknuta přes default password oracle admina nebo tak něco. Heslo bylo tuším dba nebo sda tehdy. Zkoušeli to cíleně kvůli, řekněme, lukrativnímu digitálnímu sortimentu firmy, potichoučku pomaloučku asi půl roku, pak tam nasadili rootkit pro linux, ale ten jim “bůhví proč “ :-) na Aixu nefungoval. Už je to snad 10-15 let.
« Poslední změna: 14. 10. 2022, 20:36:15 od FKoudelka »