Первое подключение к VDS по SSH - компрометация ключей?

[wiki]

как причем, речь про ссш идет. дешифровать, значит расшифровать что-то, а подглядывать, просто видеть пакеты. если кто-то будет расшифровывать ссш, флаг тому в руки))

Так и не надо ничего расшифровывать, промежуточный сервер, который будет благополучно расшифровывать все трафик, включая пароли, и передавать их далее на целевую машину.
Ключи да, но как их безопасно загрузить на сервер? VNC не подходит, как я понял, там шифрования нет и даже https не работает.

[wiki]

Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH

А как самое простое через SSH-туннель или VPN-туннель? (+еще можно IPsec и SSL)

Честно говоря, я Вас не понял. Что вы имеете ввиду?

[swg]

На любой виртуализации, http://habrahabr.ru/post/81607/ в отличие от VPN.

[wiki]

На любой виртуализации, http://habrahabr.ru/post/81607/ в отличие от VPN.

Хм и какое отношение это имеет к теме поста? Как мне это поможет безопасно настроить мой сервер?

[swg]

Это имеет отношение, к тому, что цитировано: VNC трафик можно шифровать. Да никак вы безопасно не настроите, если трафик уже слушается. Есть, например, такой вариант: некоторые хостеры позволяют добавить ssh ключи при установке VDS.

[wiki]

Это имеет отношение, к тому, что цитировано: VNC трафик можно шифровать. Да никак вы безопасно не настроите, если трафик уже слушается. Есть, например, такой вариант: некоторые хостеры позволяют добавить ssh ключи при установке VDS.

я говоря про VNC подразумеваю конкретный сервис конкретного хостера, на чьем форуме мы находимся.
Ну вот все таки можно, я еще не пробовал использовать панель ISP managera, через нее надо полагать можно загрузить ключи, т.е. сразу в /etc/ssh/. Но вот подключать ее только ради однократного применения... жалко денег, ведь поди ж спишут сразу за месяц. Все таки хотя бы шифрованное VNC, ну или хотя бы по SSL. Ведь ничего ж этому не мешает, или мешает?

[swg]

Не знаю, позволяет ли это ISPManager, но речь о загрузке ключей еще до установки сервера. Когда SSL сертификат самоподписан (в случае ISPManager) - та же ситуация, всё дешифруется, если трафик на момент соединения слушается. А чтобы настроить VNC на сервере нужен SSH. Упс, да? ;-) Правильное решение - "забить, проблема надумана".

[wiki]

Не знаю, позволяет ли это ISPManager, но речь о загрузке ключей еще до установки сервера. Когда SSL сертификат самоподписан (в случае ISPManager) - та же ситуация, всё дешифруется, если трафик на момент соединения слушается. А чтобы настроить VNC на сервере нужен SSH. Упс, да? ;-) Правильное решение - "забить, проблема надумана".

VNC на моем сервере мне без надобности, сейчас речь о VNC провайдера. Зачем мне VNC если есть ssh. Может он кому то и нужен но не мне.

Есть элементарное решение ( с точки зрения логики), с точки зрения технический вроде тоже, но не уверен.
Можно выводить в ISP manager finger print свежесозданного сервера, и как говориться voila!
Какой нибудь командой ssh-keygen -l и всех делов.

[pinokkio]

т.е, ты не веришь в тот ап который у тебя приписан в лк(тот, что дам тебе 1вдс). думаешь там фейковый сервер.

[wiki]

т.е, ты не веришь в тот ап который у тебя приписан в лк(тот, что дам тебе 1вдс). думаешь там фейковый сервер.

Кстати об этом я не подумал, действительно, подделать IP довольно трудно, нужно заворачивать траффик, маршрутизировать его. Да довольно сложная задача.
Ну вообщем, разве что только по этой причине, начать думать, что проблемы нет.
Хотя выглядит непрофессионально, IMHO.

[swg]

...действительно, подделать IP довольно трудно, нужно заворачивать траффик, маршрутизировать его. Да довольно сложная задача.

- если на стороне провайдера, то задача тривиальная;
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и свичом в подъезде, прописав статический маршрут;
- ну и наконец, если атака направлена на вас, то возможен вирус, прописывающий статический маршрут в вашей ОС или в вашем роутере (во многих "закладок" и дыр полно).
В общем, почитайте, что такое статическая маршрутизация.

[wiki]

- если на стороне провайдера, то задача тривиальная;
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и свичом в подъезде, прописав статический маршрут;
- ну и наконец, если атака направлена на вас, то возможен вирус, прописывающий статический маршрут в вашей ОС или в вашем роутере (во многих "закладок" и дыр полно).
В общем, почитайте, что такое статическая маршрутизация.

Абсолютно с вами согласен, просто логика разговора сместилась из плоскости надежности технологий, в плоскость теории вероятности "верю не верю", поэтому и появляются фразы типа "довольно трудно, сложная задача" =)

[wiki]

Ну вот, зря я переживал. Переустанавливаем VM, и указываем SSH ключи. Затем подключаемся как обычно, с ключами (ppk файл в случае putty). Злоумышленник ключа не знает, поэтому вклиниться в процесс не сможет. Поправьте меня, если я не прав?

[swg]

Я где-то выше уже это написал, что так и надо. На этой странице, 2 раза.

[pinokkio]

...
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и

лирика. есть сервер, он же шлюз. он же все раздает хостам в локалке. локальный хост поднимая ssh соед-е так же будет шифровать трафик. шлюз просто будет видеть, что идет ssh и все. и хоть там 100500 сниферов в подъезде. если провик или враги будут снифать, они просто будут видить "жопу" сервера который принимает шифрованные пакеты, но не их содержимое. а стойкость шифрования енто уже др ?.