Страница 2 из 3

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 7:35 pm
wiki
pinokkio писал(а):как причем, речь про ссш идет. дешифровать, значит расшифровать что-то, а подглядывать, просто видеть пакеты. если кто-то будет расшифровывать ссш, флаг тому в руки))

Так и не надо ничего расшифровывать, промежуточный сервер, который будет благополучно расшифровывать все трафик, включая пароли, и передавать их далее на целевую машину.
Ключи да, но как их безопасно загрузить на сервер? VNC не подходит, как я понял, там шифрования нет и даже https не работает.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 7:37 pm
wiki
swg писал(а):
wiki писал(а):Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH
А как самое простое через SSH-туннель или VPN-туннель? (+еще можно IPsec и SSL)

Честно говоря, я Вас не понял. Что вы имеете ввиду?

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 7:38 pm
swg
На любой виртуализации, http://habrahabr.ru/post/81607/ в отличие от VPN.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 7:42 pm
wiki
swg писал(а):На любой виртуализации, http://habrahabr.ru/post/81607/ в отличие от VPN.

Хм и какое отношение это имеет к теме поста? Как мне это поможет безопасно настроить мой сервер?

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 7:47 pm
swg
Это имеет отношение, к тому, что цитировано: VNC трафик можно шифровать. Да никак вы безопасно не настроите, если трафик уже слушается. Есть, например, такой вариант: некоторые хостеры позволяют добавить ssh ключи при установке VDS.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 7:56 pm
wiki
swg писал(а):Это имеет отношение, к тому, что цитировано: VNC трафик можно шифровать. Да никак вы безопасно не настроите, если трафик уже слушается. Есть, например, такой вариант: некоторые хостеры позволяют добавить ssh ключи при установке VDS.

я говоря про VNC подразумеваю конкретный сервис конкретного хостера, на чьем форуме мы находимся.
Ну вот все таки можно, я еще не пробовал использовать панель ISP managera, через нее надо полагать можно загрузить ключи, т.е. сразу в /etc/ssh/. Но вот подключать ее только ради однократного применения... жалко денег, ведь поди ж спишут сразу за месяц. Все таки хотя бы шифрованное VNC, ну или хотя бы по SSL. Ведь ничего ж этому не мешает, или мешает?

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 8:01 pm
swg
Не знаю, позволяет ли это ISPManager, но речь о загрузке ключей еще до установки сервера. Когда SSL сертификат самоподписан (в случае ISPManager) - та же ситуация, всё дешифруется, если трафик на момент соединения слушается. А чтобы настроить VNC на сервере нужен SSH. Упс, да? ;-) Правильное решение - "забить, проблема надумана".

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 8:10 pm
wiki
swg писал(а):Не знаю, позволяет ли это ISPManager, но речь о загрузке ключей еще до установки сервера. Когда SSL сертификат самоподписан (в случае ISPManager) - та же ситуация, всё дешифруется, если трафик на момент соединения слушается. А чтобы настроить VNC на сервере нужен SSH. Упс, да? ;-) Правильное решение - "забить, проблема надумана".

VNC на моем сервере мне без надобности, сейчас речь о VNC провайдера. Зачем мне VNC если есть ssh. Может он кому то и нужен но не мне.

Есть элементарное решение ( с точки зрения логики), с точки зрения технический вроде тоже, но не уверен.
Можно выводить в ISP manager finger print свежесозданного сервера, и как говориться voila!
Какой нибудь командой ssh-keygen -l и всех делов.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Сб сен 06, 2014 10:15 pm
pinokkio
т.е, ты не веришь в тот ап который у тебя приписан в лк(тот, что дам тебе 1вдс). думаешь там фейковый сервер.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Пн сен 08, 2014 3:28 am
wiki
pinokkio писал(а):т.е, ты не веришь в тот ап который у тебя приписан в лк(тот, что дам тебе 1вдс). думаешь там фейковый сервер.

Кстати об этом я не подумал, действительно, подделать IP довольно трудно, нужно заворачивать траффик, маршрутизировать его. Да довольно сложная задача.
Ну вообщем, разве что только по этой причине, начать думать, что проблемы нет.
Хотя выглядит непрофессионально, IMHO.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Пн сен 08, 2014 10:53 am
swg
wiki писал(а):
pinokkio писал(а):...действительно, подделать IP довольно трудно, нужно заворачивать траффик, маршрутизировать его. Да довольно сложная задача.

- если на стороне провайдера, то задача тривиальная;
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и свичом в подъезде, прописав статический маршрут;
- ну и наконец, если атака направлена на вас, то возможен вирус, прописывающий статический маршрут в вашей ОС или в вашем роутере (во многих "закладок" и дыр полно).
В общем, почитайте, что такое статическая маршрутизация.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Пн сен 08, 2014 10:59 am
wiki
swg писал(а):- если на стороне провайдера, то задача тривиальная;
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и свичом в подъезде, прописав статический маршрут;
- ну и наконец, если атака направлена на вас, то возможен вирус, прописывающий статический маршрут в вашей ОС или в вашем роутере (во многих "закладок" и дыр полно).
В общем, почитайте, что такое статическая маршрутизация.

Абсолютно с вами согласен, просто логика разговора сместилась из плоскости надежности технологий, в плоскость теории вероятности "верю не верю", поэтому и появляются фразы типа "довольно трудно, сложная задача" =)

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Пн сен 08, 2014 12:59 pm
wiki
Ну вот, зря я переживал. Переустанавливаем VM, и указываем SSH ключи. Затем подключаемся как обычно, с ключами (ppk файл в случае putty). Злоумышленник ключа не знает, поэтому вклиниться в процесс не сможет. Поправьте меня, если я не прав?

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Пн сен 08, 2014 1:43 pm
swg
Я где-то выше уже это написал, что так и надо. На этой странице, 2 раза.

Re: Первое подключение к VDS по SSH - компрометация ключей?

СообщениеДобавлено: Пн сен 08, 2014 10:03 pm
pinokkio
swg писал(а):
wiki писал(а):
pinokkio писал(а):...
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и

лирика. есть сервер, он же шлюз. он же все раздает хостам в локалке. локальный хост поднимая ssh соед-е так же будет шифровать трафик. шлюз просто будет видеть, что идет ssh и все. и хоть там 100500 сниферов в подъезде. если провик или враги будут снифать, они просто будут видить "жопу" сервера который принимает шифрованные пакеты, но не их содержимое. а стойкость шифрования енто уже др ?.