abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 1
včera 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 5
včera 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 0
včera 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
včera 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
1.12. 15:16 | Komunita

Na GOG.com začal zimní výprodej. Řada zlevněných her běží oficiálně také na Linuxu. Hru Neverwinter Nights Diamond lze dva dny získat zdarma. Hra dle stránek GOG.com na Linuxu neběží. Pomocí návodu ji lze ale rozběhnout také na Linuxu [Gaming On Linux].

Ladislav Hagara | Komentářů: 1
1.12. 13:14 | Bezpečnostní upozornění

Byla vydána verze 2.7.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Řešeno je několik bezpečnostních problémů. Aktualizován byl především Tor Browser na verzi 6.0.7. Tor Browser je postaven na Firefoxu ESR (Extended Support Release) a právě ve Firefoxu byla nalezena a opravena vážná bezpečnostní chyba MFSA 2016-92 (CVE-2016-9079, Firefox SVG Animation

… více »
Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 759 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: ssh a port

17.1.2008 11:47 VlNo
ssh a port
Přečteno: 2092×
co je lepsi, kdyz chci zmenit port pro ssh? Akceptovat pozadavky na portu treba. 2222 a presmerovat je na 22, nebo rovnou zmenit port ssh z 22 na 2222?

Odpovědi

17.1.2008 11:54 Jan Šimák | skóre: 37 | Hradec Králové
Rozbalit Rozbalit vše Re: ssh a port
Podle mě je lepší nechat port portem a raději zesílit autentizaci uživatelů, např. pomocí klíčů.
17.1.2008 11:59 VlNo
Rozbalit Rozbalit vše Re: ssh a port
no, na to se chystam, ale neni nejak cas:( jinak jsem tady nekde narazil na otazku, zda se daji pouzit klice vytvorene pomoci easy-rsa pro openvpn, aby se nemuseli delat dalsi, ale zadna odpoved tam nebyla.. je to mozny? (jinak ma prvni ptazka porad plati:).
17.1.2008 12:02 VlNo
Rozbalit Rozbalit vše Re: ssh a port
oprava a stud ( nemuseli => nemusely :)
17.1.2008 14:10 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
BTW: Kdyz se autentizuje pomoci klicu, loguji se neplatne pokusy o prihlaseni ? Diky
17.1.2008 14:46 Jan Šimák | skóre: 37 | Hradec Králové
Rozbalit Rozbalit vše Re: ssh a port
Ano.
17.1.2008 11:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Proč něco přesměrovávat, když to není potřeba? Ale především bych si rozmyslel, proč vlastně chcete ssh na nestandardním portu. Doufám, že k tomu máte vážnější důvody než tradiční security by obscurity.
17.1.2008 12:00 VlNo
Rozbalit Rozbalit vše Re: ssh a port
duvod je ten, ze se mi kazdych 5 minut snazi uhodnout heslo nejakej korejskej automat :(
17.1.2008 12:05 Jan Šimák | skóre: 37 | Hradec Králové
Rozbalit Rozbalit vše Re: ssh a port
A vy si myslíte, že varianty 2222 nebo 22222 a podob. nikdo zkoušet nebude ;-)
17.1.2008 12:07 VlNo
Rozbalit Rozbalit vše Re: ssh a port
to byl priklad, dam si tam treba 512487 :-D ale pokud jde o automaty, tak ti jdou vetsinou primo po te 22..
17.1.2008 12:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
to byl priklad, dam si tam treba 512487 :-D

Obávám se, že to se démonovi líbit nebude. Ale mělo by to výhodu, že na takový port by se vám zaručeně nikdo bourat nezkoušel.

ale pokud jde o automaty, tak ti jdou vetsinou primo po te 22

Pokud máte takové heslo, že reálně hrozí jeho uhodnutí takovým automatem, o jakých mluvíte, pak toto je váš problém a toto je třeba řešit. Ne schování sshd na nedefaultní port.

unknown_ avatar 17.1.2008 12:13 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: ssh a port
Tak tolik si tam fakt nedáš s ohledem na to, že portů je 65535
17.1.2008 12:20 VlNo
Rozbalit Rozbalit vše Re: ssh a port
jo jo jo, nejak mi ujela ruka, kdyz jsem tam klikal ty cisla:) Jinak heslo mam v pohode, jen mi vadi to plneni logu a proste to neni nic dobryho...
17.1.2008 15:53 Jirka
Rozbalit Rozbalit vše Re: ssh a port
Z vlastni praxe mohu potvrdit, ze ne. Kdyz jsem mel sshd na portu 22, mel jsem tisice pokusu spojeni za den. Po zmene na nestandardni port, jiz zadny. Samozrejme krome vlastnich lidi.

Jirka
Shidoshi avatar 17.1.2008 12:09 Shidoshi | skóre: 7
Rozbalit Rozbalit vše Re: ssh a port

Proc neskusis nastavit #MaxAuthTries 6 napr...

17.1.2008 12:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Ale raději bez toho křížku. :-)
17.1.2008 12:14 VlNo
Rozbalit Rozbalit vše Re: ssh a port
tim nic nezkazim, diky .. nejake dalsi navrhy? :)
17.1.2008 13:33 Tomáš Honzák | skóre: 19 | Praha
Rozbalit Rozbalit vše Re: ssh a port
Co takhle nasadit denyhosts ?
Ondroid avatar 17.1.2008 13:36 Ondroid | skóre: 32 | blog: Hombre
Rozbalit Rozbalit vše Re: ssh a port
+1
Shidoshi avatar 17.1.2008 12:15 Shidoshi | skóre: 7
Rozbalit Rozbalit vše Re: ssh a port

To snad vi ne:). Sem to kopcil z configuraku a uprimne receno nechtelo se mi to nejak upravovat :P. Taky by se nejdriv mohl mrknout do configu nez tady neco resi co tam je popsano:)

17.1.2008 12:22 VlNo
Rozbalit Rozbalit vše Re: ssh a port
precti si mou puvodni otazku, k temto navrhum jsme se dostali az v prubehu diskuze;) (neber to spatne..diky:)
17.1.2008 12:25 lieko
Rozbalit Rozbalit vše Re: ssh a port
PermitEmptyPasswords no
AllowUsers user1 user2
to su celkom uzitocne veci
osladil avatar 17.1.2008 14:40 osladil | skóre: 12
Rozbalit Rozbalit vše Re: ssh a port
+1

Osobne davam prednost pouziti AllowGroups ssh a pridanim uzivatele prave do teto skupiny.
17.1.2008 12:33 VlNo
Rozbalit Rozbalit vše Re: ssh a port
no jo, to jsou vsechno dobre veci, ale tim preci nevyresim to, aby se me tam snazily prihlasivat nejaky ty automaty, ktery testujou port 22 a jemu podobne. Muzu zakazat prihlaseni na roota a pouzivat treba su pod jinym uzivatelem, ale logy se mi stejne budou plnit tim, ze server tchaionku.com.tw se mi snazi prihlasit jako root:)
17.1.2008 12:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
ale tim preci nevyresim to, aby se me tam snazily prihlasivat nejaky ty automaty, ktery testujou port 22 a jemu podobne

A co na tom vlastně chcete řešit? Pokud se nebojíte toho, že uspějí, nevidím v tom žádný problém.

Muzu zakazat prihlaseni na roota a pouzivat treba su pod jinym uzivatelem

Další podobné populární a efektní opatření, které je z praktického hlediska k ničemu.

ale logy se mi stejne budou plnit tim, ze server tchaionku.com.tw se mi snazi prihlasit jako root

Pokud tohle vidíte jako hlavní problém, tak si ty hlášky odfiltrujte a budete mít klid. :-)

17.1.2008 13:11 Franta
Rozbalit Rozbalit vše Re: ssh a port
Já jsem to vyřešil tak, že jsem SSH přesunul na nestandardní port, který loguju. Původní port 22 neloguju. 99% logů mi tímto ubylo.
17.1.2008 13:18 VlNo
Rozbalit Rozbalit vše Re: ssh a port
tak a jsme zase u meho prvotniho dotazu :)
17.1.2008 13:18 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
A nebylo by jednodušší prostě odfiltrovat ty hlášky, které vám vadí?
17.1.2008 13:24 Franta
Rozbalit Rozbalit vše Re: ssh a port
No, pokud ponechá port 22, jak bude logovat pokusy o připojení na SSH? Pokud jej přesune, třeba na port 21012, pak je může logovat dál na novém portu a starý může ignorovat.
17.1.2008 13:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
To si musí rozmyslet, jestli ty hlášky chce nebo ne. Tím, že přestěhuje sshd na jiný port, se to přeci nezmění.
17.1.2008 13:29 Franta
Rozbalit Rozbalit vše Re: ssh a port
No mě značně poklesl počet logů. Nestandardní port už nikdo neskoušel.
17.1.2008 14:33 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Jde o to uvědomit si, co chci vlastně řešit. Pokud chci řešit zabezpečení, zakážu přihlášení heslem a budu používat dostatečně silné a bezpečně používané klíče. Pokud chci řešit pokusy o neoprávněné přihlášení, můžu omezit počet pokusů z jedné IP adresy za jednotku času. Pokud chci řešit pokusy o neoprávněné přihlášení na port 22, můžu sshd odsunout na jiný port. Pokud chci řešit zbytečné hlášky v logu, použiju filtrování logů. Ale používat na filtrování hlášek v logu odsunutí sshd na jiný port, to je docela zvláštní, ne? Pokud je někde něco špatně, bývá lepší opravit problém, ne zamaskovat jeho projevy.
17.1.2008 14:50 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Ja bych to formulova za sebe :) Kdyby to slo udelat podobne jako s povinnym klientskym certifikatem https + heslo, bylo by to skvele. Utocnik by musel mit klic, aby se vubec dostal k pokusu zadat heslo. Dvouprvkove prihlaseni ma jiste kouzlo. Jako side effect by pak log obsahoval pouze skutecne zajimave pripady znamenajici, ze nekdo nekde ma klic, ktery by mit nemel. (Zaheslovani certifikatu tohle ale neresi)
17.1.2008 15:03 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Dvouprvkove prihlaseni ma jiste kouzlo.

V implementacích, o kterých se tu bavíme, jde ale jen o to kouzlo… :-)

Zaheslovani certifikatu tohle ale neresi

Proč ne?

17.1.2008 15:17 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
a) souhlas, ale bodlo by to urcite nejen mne :)

b) protoze jde stale o jednoprvkove prihlaseni - u jednou distribuovaneho certifikatu uz neumim vynutit zmenu hesla.
17.1.2008 15:25 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
b) protoze jde stale o jednoprvkove prihlaseni - u jednou distribuovaneho certifikatu uz neumim vynutit zmenu hesla.
Distribuovaného? Vy privátní klíče někam distribuujete? Nejsem si jist, co přesně tím myslíte, ale hesla a privátní klíče se uchovávají v tajnosti, na tom je celý princip zabezpečení heslem nebo privátním klíčem založen.
17.1.2008 15:40 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Ale jisteze distribujete privatni klice. To je prece princip klientskych certifikatu.
17.1.2008 15:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Vážně? V praxi se to sice často děje, ale za princip bych to rozhodně neoznačil. Spíš za přizpůsobení se problematiky neznalým uživatelům.
17.1.2008 15:55 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
??? To se tedy fakt mylite. Klientsky certifikat je verejnym klicem certifikacni autority podepsany privatni klic uzivatele.
17.1.2008 16:07 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Klientský certifikát je pro šifrování trochu zavádějící pojem, ale je to podepsaný veřejný klíč uživatele. Pro samotné šifrování je ale potřeba jen soukromý (privátní) a veřejný klíč, certifikát je potřeba až pro ověřejní identifikace (tj. že někdo ověřil údaje na veřejném klíči) – což u ssh nepotřebujete, protože tam se uživatel neidentifikuje nijak, „identifikací“ je přímo veřejný klíč. Soukromý certifikát je tajemství uživatele, a má-li se jednat o skutečné zabezpečení, klientský certifikát nikdy nesmí nikdo mimo uživatele vidět – ani certifikační autorita.
17.1.2008 16:18 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Ne, ne. Klientsky certifikat je podepsany privatni klic. Ale treba serverovy certifikat je podepsany verejny klic toho serveru.

Ohledne ssh - prave proto jsem zavedl rec na klientske certifikaty, ze stavajici praxe neni uplne optimalni - chybi tam moznost klientskych certifikatu.
17.1.2008 16:32 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Ne, ne. Klientsky certifikat je podepsany privatni klic. Ale treba serverovy certifikat je podepsany verejny klic toho serveru.
Člověče, běžte si o tom rychle něco přečíst, třeba aspoň na Wikipedii: Digital certificate. Proč myslíte, že žádost o klientský certifikát má dvě části, jednu si necháte a druhou předáte certifikační autoritě? Aby soukromý klíč nikam neputoval a zůstal jenom u vás. Nebo proč se skoro všude u klientského certifikátu zobrazuje, zda k němu máte i privátní klíč? Pokud má být zabezpečení párem klíčů opravdu bezpečné, nesmíte dát privátní klíč z ruky, tak nemůže být na nějakém veřejném certifikátu. Pokud by byl certifikát tajný, pak zase nemá smysl, aby byl podepsán, sám sobě člověk většinou důvěřuje a nepotřebuje to mít potvrzené od certifikační autority. Když už to nechcete nikde číst, zapojte aspoň logiku…
Ohledne ssh - prave proto jsem zavedl rec na klientske certifikaty, ze stavajici praxe neni uplne optimalni - chybi tam moznost klientskych certifikatu.
To by znamenalo oproti současné praxi znamenalo, že bych na serveru neregistroval veřejný klíč, ale řekl bych, že přijímám libovolný veřejný klíč, který se shoduje v nějakých údajích (třeba jméno a příjmení) a byl podepsán nějakou důvěryhodnou certifikační autoritou. Zatím to mylsím není potřeba (lidé nemění veřejné klíče moc často), a hlavně chybí nějaký (celosvětově) jendoznačný údaj. Protože já nechci povolit přístup každému Frantovi Novákovi, ale jenom tomu jedinému. Tady v ČR bych to mohl určit třeba kombinací jméno, příjmení, rodné číslo, bydliště – ale to není celosvětově univerzální.
17.1.2008 16:40 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Prosim vas, zadejte do googlu "client certificate" proboha. Jak se muzete tak ztrapnovat ?
17.1.2008 16:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Není to Filip Jirsák, kdo se tu ztrapňuje. Opravdu si o tom něco přečtěte.
17.1.2008 16:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port

Zkusím vám to vysvětlit ještě jinak. Základním principem autentizace s veřejným klíčem je implementace tzv. zero knowledge proof. Tedy toho, že mohu (dostatečně) spolehlivě prokázat znalost určité tajné informace (zde tajný klíč) i tomu, kdo ji sám nezná. Funguje to tak, že veřejný klíč stačí k ověření toho, zda byla určitá data podepsána odpovídajícím tajným klíčem, ale z veřejného klíče se nedá odvodit tajný. Proto kdokoli, kdo má můj veřejný klíč, může ověřovat, zda jsem data podepsal opravdu já, ale nemůže sám podepisovat, a tedy se za mne vydávat.

Autorita slouží pouze k tomu, aby se zjednodušilo ověření, že daný veřejný klíč patří pouze mne. Pokud tedy druhá strana nemá možnost ode mne věrohodným způsobem získat veřejný klíč, nechám si vystavit certifikát. Ten vypadá tak, že se vezme můj veřejný klíč (možná jen fingerprinty, to si teď z hlavy nevzpomínám), nějaké identifikační údaje, a celé se to podepíše (tajným) klíčem autority. Výsledku se říká certifikát. Takže kdokoli, kdo má veřejný klíč (certifikát) autority, může ověřit, že autorita na svou zodpovědnost tvrdí, že daný veřejný klíč patří mně. A pokud té autoritě důvěřuje, bude věřit, že je ten veřejný klíč opravdu můj a bude moci ověřovat mnou podepsaná data.

17.1.2008 16:53 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
To jsem samozřejmě udělal už předtím, abych našel nějakou autoritativní definici termínu „klientský certifikát“. To se mi nepodařilo, a různé texty či screenshoty z Windows, ze kterých logicky plyne, že certifikát nemůže obsahovat privátní klíč, vám asi nestačí. Bude stačit popis certifikátu od I. CA, první společnosti, která v ČR dostala akreditaci podle zákona o elektronickém podpisu?
17.1.2008 17:49 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
http://en.wikipedia.org/wiki/PKCS

PKCS#12
17.1.2008 18:31 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Fajn. Jak si vykládáte, že na řádku vedle PKCS#12 je napsáno „private key“ a „public key certificates“? Nebo o dva řádky nad tím u PKCS 10: Format of messages sent to a certification authority to request certification of a public key. See certificate signing request. „Certifikace veřejného klíče“. Pořád trváte na tom, že certifikát obsahuje soukromý klíč?
17.1.2008 18:45 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Porad trvam na tom, ze KLIENTSKY certifikat obsahuje privatni klic. Vam staci na overeni vasi totoznosti bankou a podepisovani dokumentu od nich ziskat jeden soubor .p12 (a nemusite jim tam nosit zadny svuj klic) Stejne tak pro import do browseru, pokud pouzivate klientske certifikaty na apachi.
17.1.2008 18:58 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Porad trvam na tom, ze KLIENTSKY certifikat obsahuje privatni klic.

Klidně si na tom trvejte, když vás ani oficiální dokumenty nezajímají, jen, prosím vás, taková tvrzení nešiřte dál.

17.1.2008 16:20 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port

Ne, to se nemýlím. Tajný klíč není třeba nikam distribuovat. Ten si vygeneruje uživatel sám a nemusí (přesněji: neměl by) ho nikomu poskystovat, natož ho někam distribuovat.

Mýlíte se vy, dokonce dvojmo: certifikát je veřejný klíč uživatele (plus nějaké identifikační údaje) podepsaný tajným klíčem autority (veřejným by to nemělo smysl, ten je komukoli k dispozici).

17.1.2008 16:31 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Zmylil jsem se jenom v tom, ze k podpisu se opravdu pouziva privatni klic, to jsem nenapsal dobre.

Ale klientsky certifikat je podepsany privatni klic. Jak byste pak chtel sam podepisovat dokumenty, kdybyste od autority nemel i privatni i verejny klic ?
17.1.2008 16:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Ne, není. Certifikát je přesně to, co jsem napsal. Podepisujete tajným klíčem, který si vygenerujete sám. Autoritě dáte svůj veřejný klíč, vaše identifikační údaje a předložíte doklady prokazující, že jste to opravdu vy. Není naprosto žádný důvod, proč by autorita měla dostat váš tajný klíč.
17.1.2008 16:42 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Celou dobu mluvim o klientskem certifikatu. Vezmte to prosim na vedomi.
17.1.2008 16:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
To na věci vůbec nic nemění.
17.1.2008 16:47 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
google is your friend
17.1.2008 16:51 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Nechte laskavě těch narážek. Nebo vám budu muset odpovídat v podobném duchu a to bych nerad. V tomto případě by to nejspíš znělo "můj ano, váš nejspíš ne". :-)
17.1.2008 16:37 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Od autority nemáte z klíčů nic, máte od ní jen podpis pod svázanou dvojicí veřejný klíč – identifikační údaje. Šifruje se veřejným klíčem, rozšifrovat pak může jedině ten, kdo má odpovídající klíč soukromý. Podepisuje se soukromým klíčem, ověřit podpis pak může každý, kdo má odpovídající klíč veřejný. Asymetrická kryptografie funguje tak, že pokud na výchozí text „aplikujete“ po sobě veřejný a soukromý klíč z páru klíčů, a to v libovolném pořadí, dostanete zpět výchozí text.
17.1.2008 16:46 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Vy mluvite o idealnim pripade. Ale fakt nas zakon pocita s tim, ze si pani Novakova vygeneruje doma dvojici klicu ? No nevim, treba se to opravdu zmenilo.

P.S. Ty zaklady si nechte od cesty. Zkuste si spise zjistit, co znamena klientsky certifikat.
17.1.2008 16:55 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Nejen, že s tím náš zákon počítá, náš zákon jinou možnost nepřipouští. A nic se na tom neměnilo, tohle je naprosti základní princip, který je v tom zákoně samozřejmě od samého začátku.
17.1.2008 21:39 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Opravdu to tak je. Nikdo paní Novákové nevygeneruje "klientský certifikát" jen tak z vody a nepošle jí ho na disketě poštou. Paní nováková si musí sednout k počítači, 1) vygenerovat si keyring se soukromým klíčem, z něj 2) vygenerovat žádost o certifikát 3) na jejím základě dostane certifikát. Soukromý klíč samozřejmě nikam neposílá, takže jej nemůže obsahovat ani žádost o certifikát, ani certifikát samotný.

Samozřejmě, nemusí to udělat paní Nováková, může to za ní udělat třeba synovec. ale to je asi tak všechno a je fakt, že důvěryhodnost pí Novákové je tím poněkud podlomena, což je ovšem její problém, není to problém sytémový (že by se privátní klíče někam distribuovaly jako součást certifikátu).
17.1.2008 16:02 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Jak které. Třeba privátní klíče od baráku nikam nedistibuuju, ale nechávám si je pro sebe :-) A ta shoda názvů s elektronickým privátním klíčem není náhodná. Takže privátní klíče „distribuuju“ (předám) někomu jedině v případě, kdy předpokládám, že by bylo příliš chtít po něm, aby si privátní klíč vytvořil sám – pak dvojici klíčů vytvořím za něj a předám mu ji. Každopádně ale prozrazení privátního klíče je stejné jako prozrazení hesla – v obou případech je nutné na serveru toto „přihlašovací tajemství“ zneplatnit a nahradit jej jiným – v případě hesla jiným heslem, v případě klíče jiným klíčem.

Princip klientský certifikátů spočívá v tom, že uživatel má svůj tajný privátní klíč, a k němu do páru veřejný klíč. Pokud má získat přístup k nějakému serveru, správce toho serveru přiřadí tento veřejný klíč do seznamu klíčů, které opravňují daného uživatele se přihlásit. Principiálně tedy privátní klíč nikam neputuje.
17.1.2008 16:11 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Ani manzelce ? :) Neni to pak tyrani zvirat ? :)) Asi si rozumime, ale bohuzel praxe je takova (nebo aspon byla, uz jsem si o tom dlouho nic neprecetl), ze i oficialni certifikacni autority vam certifikat proste "vyrobi" vcetne klice.
17.1.2008 16:15 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Nevím, které oficiální certifikační autority myslíte, ale třeba ty tři české akreditované by za tohle nejspíš přišly o akreditaci. Navíc klíče pro ssh žádná certifikační autorita nepodepisuje, protože na serveru slouží pro „identifikaci“ přímo veřejný klíč.
17.1.2008 16:19 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Takze majitel certifikatu muze volne rozdavat svuj certifikat ? (Kdyz tam prece ma svuj verejny klic)
17.1.2008 16:21 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Samozřejmě. Proto se tomu klíči říká veřejný.
17.1.2008 16:25 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Takze kdyz muzu volne rozdavat svuj certifikat, muzu pak bernaku tvrdit, ze to podepsal nekdo jinej ? :)
17.1.2008 16:31 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Tvrdit to můžete, ale asi vám to neprojde. Certifikátem totiž nic nepodepíše a pokud jste mu dal svůj tajný klíč, pak je to váš problém.
17.1.2008 18:19 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
To by me zajimalo, jak si predstavujete podepisovani odesilane agendy a overovani totoznosti klienta, ktery ma klientsky certifikat od banky (a tudiz podle vas nema odpovidajici privatni klic)
17.1.2008 18:44 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Pro podepisování máte privátní klíč. Pro ověření podpisu je veřejný klíč. Pro identifikaci, komu patří veřejný klíč, existuje certifikát, na kterém je napsáno přibližně „tento veřejný klíč patří tomu a tomu“. Aby ten certifikát byl nějak důvěryhodný, je podepsaný nějakou certifikační autoritou. Takže se dá říct, že máte soukromý klíč k nějakému certifikátu (např. Windows používají tuto terminologii – v okně certifikátu vám napíšou zprávu, že máte „soukromý klíč odpovídající tomuto certifikátu“ (tady máte screenshot). Tudíž se podepisuje privátním klíčem, který je ale mimo certifikát – certifikát je totiž věc veřejná, aby si jej každý mohl ověřit.

To je důvod, proč jsem na začátku psal, že klientský certifikát není moc vhodný termín – označuje se tím označuje kde co. Pro samotnou asymetrickou kryptografii nemá klientský certifikát žádný význam – tam je pouze soukromý a veřejný klíč. Certifikát slouží až k přiřazení veřejného klíče nějaké identitě a ověření tohoto přiřazení. Správné by asi bylo používat termín „certifikát veřejného klíče a odpovídající soukromý klíč“, jenomže to je zase moc dlouhé… Se samotným klientským certifikátem (lépe řečeno certifikátem veřejného klíče) nepodepíšete nic – ten slouží k ověření vašeho podpisu, případně k šifrování zpráv, které vy můžete svým soukromým klíčem rozšifrovat.
17.1.2008 18:52 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Ze se vzil nazev "klientsky certifikat" pro oznaceni souboru obsahujiciho certifikaty + privatni klic, s tim toho moc nenadelame. Pokud ovsem budete trvat na tom, ze klientsky certifiakt zadny privatni klic neobsahuje, muzete mast nestastniky a zpusobovat dobrovolne rozdavani privatnich klicu. Termin klientsky certifikat oznacuje, co oznacuje, uz leta. Je bezne pouzivan v technickych navodech a nevidim duvod to proste neakceptovat.
17.1.2008 18:55 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Nic takového se nevžilo, to je pouze mystifikace, kterou tu šíříte vy. Nic víc.
17.1.2008 19:01 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Povazuji diskusi za skoncenou. Kazdy se muze lehce presvedcit dotazem u googlu, zda se souborum .p12 bezne rika certifikat ci ne.
17.1.2008 19:02 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Filip Jirsák to zkoušel a… ukázalo se, že nemáte pravdu.
17.1.2008 19:13 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port

Tak jsem to pro zajímavost udělal a hned první odkaz vede na stránku, kde se o PKCS #12 mimo jiné píše

Defines a file format commonly used to store private keys with accompanying public key certificates, protected with a password-based symmetric key. … This is a container format that can contain multiple embeded objects, eg. multiple certificates. …

Ani slovo o tom, že by se tomu kontejneru jako celku říkalo certifikát. A další zdroje jsou na tom podobně. Pokud chcete něco opravdu oficiálního, tak tady je specifikace.

17.1.2008 21:44 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Jak už jsem psal, „certifikát“ se v oblasti asymetrické kryptografie bohužel říká kde čemu. Jednou z mála jistot je, že u protokolu ssh se pro přihlášení klienta žádné certifikáty nepoužívají, protože se používají přímo veřejný a soukromý klíč (žádný certifikát není potřeba, v úložišti máte přímo veřejné klíče, kterým důvěřujete).

Co se týče ostatního, nezáleží na tom, jestli se něčemu říká certifikát nebo ne, ale záleží na podstatě věci – soukromý klíč má mít v plné moci pouze majitel „podpisového certifikátu“ a nikdo jiný (ani CA) k němu nemá mít přístup. Soukromý klíč není součástí žádosti o „certifikát“ – žádost sestává z veřejného klíče a identifikačních údajů, to celé podepsáno odpovídajícím soukromým klíčem. CA z takové žádosti vyrobí podepsaný certifikát (podepsaný je soukromým klíčem CA). Formáty pro uložení „certifikátů“ zpravidla umožňují uložit do jednoho souboru vedle certifikátu veřejného klíče i soukromý klíč a/nebo celou certifikační cestu až ke kořenovému certifikátu.

Pokud tedy někdo někam posílá svůj soukromý klíč, je to pouze jeho nevědomost nebo hloupost. Žádný technický postup v oblasti asymetrické kryptografie nic takového nevyžaduje. Všechny tři české kvalifikované certifikační autority vydávají certifikáty na základě žádosti (neobsahující soukromý klíč) podané zákazníkem, tj. certifikační autorita nepřijde do styku s privátním klíčem. Je možné, že některé banky vydávají svoje certifikáty tak, že za klienta vygenerují i žádost a privátní klíč, certifikát mu pak podepíšou a dají mu podepsaný certifikát i s klíčem. To ale neznamená, že by takový postup byl potřeba – pouze to cosi vypovídá o tom, jak bere banka vážně zabezpečení.
17.1.2008 21:59 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Dobre tedy, uvedu autoritu z nejpovolanejsich - p. Michal Kubecek mi zaslani soukromeho klice v certifikatu postou primo doporucil:

http://www.abclinuxu.cz/forum/show/207491#67

Neodpovedel jste mi ani jeden na otazku, jak se dostane vas bankovni soukromy klic k vam na pocitac.
17.1.2008 22:08 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Neodpovedel jste mi ani jeden na otazku, jak se dostane vas bankovni soukromy klic k vam na pocitac.
Vznikne tam při generování páru soukromého a veřejného klíče. Z veřejného klíče a identifikačních údajů se následně vygeneruje žádost o certifikát, která se dopraví k podpisu certifikační autoritě. Soukromý klíč neopouští počítač žadatele (pokud jej tedy žadatel sám nevyexportuje, aby si klíč zazálohoval).

Např. ve Windows probíhá generování žádosti tak, že se soukromý klíč uloží kamsi do uživatelského profilu a jako soubor dostanete jenom žádost. Tu pak předáte CA, tam vám vystaví podepsaný certifikát, který naimportujete zpátky do Windows, a teprve v tomto okamžiku vám Windows ten privátní klíč zpřístupní (jako soukromý klíč k certifikátu). V době mezi vygenerováním žádosti a importem podepsaného certifikátu (a případnou zálohou klíče) nesmíte Windows přeinstalovat, nesmí se vám uživatelský profil poškodit nebo ztratit, jinak přijdete o jedinou kopii soukromého klíče a tím pádem vám bude „certifikát“ k ničemu. Kdyby ten soukromý klíč byl kdekoliv jinde, než v počítači žadatele, nebyl by přece problém jej v takovém případě obnovit.
17.1.2008 22:25 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Jiste, to je ta jedna cesta. Druha cesta je, ze jste si vyzvedl disketu s klientskym certifikatem ve formatu PKCS #12 v souboru .p12 a po importu do browseru jste tam mel i soukromy klic a server vas bez dalsiho poznal. Delali to tak minimalne pred par roky nekteri obchodnici s cennejma papirama. Prodlouzeni platnosti uz jste delal pres jejich web.

To je presne to, co se stane, kdyz poslu uzivateli s revokovanym certifikatem novy zaheslovany klientsky certifikat podle p.Kubecka. Nechcete mi tvrdit, ze takovy clovek nedostane novy soukromy klic, ze ne ?
17.1.2008 23:23 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Mluvíte o tom, čemu se někdy říká třeba keystore. Jen mi není jasné (a asi byste to měl vysvětlit) proč tomu říkáte "certifikát", když to je formát pro uchovávání klíčů, certifikátů, chainů... :)

Jediný důvod mne napadá asi ten, jako když lidé říkají webu net a netu web a tím pádem mohou snadno vznikat i komické kombinace. Ale to je jen tím, že si pletou dojmy s pojmy.
17.1.2008 23:40 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Nojo, tak už vím kdo vám udělal ten zmatek v pojmech. Můžou za to obchodníci s cennými papíry :)

Samozřejmě když nekomu pošlete jeden soubor, obsahující soukromý klíč, certifikát, a třeba ještě pár dalších věcí a řeknete mu "tak tady máte ten ''certifikát''", tak to pak ''certifikát'' samozřejmě obsahuje i soukromý klíč. A pokud je generování soukromých klíčů společě s certifikátem systémové řešení, pak to je každého věc, jeho důvěryhodnost je pak stejná, jako důvěryhodnost toho obchodníka co ten keystore vytvořil + důvěryhodnost distribučního kanálu (na rozdíl od situace kdy si soukromý klíč vygenerujete vy, a pak jde jen o vás a vaše úložiště -- počítač, flashka atd.)

Ale z tohoto pohledu "obchodníků s cennými papíry" mohou obsahovat soukromé klíče nejen (kdo co) certifikáty, ale třeba i (kdo co) fotky z dovolené :/
17.1.2008 23:50 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
jeho důvěryhodnost je pak stejná, jako důvěryhodnost toho obchodníka co ten keystore vytvořil + důvěryhodnost distribučního kanálu

Přičemž znak "+" zde znamená minimum z argumentů. :-)

18.1.2008 02:55 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
To je hodne naivni. Zamyslel jste se nad tim, jak server vi, ze jste skutecne ten clovek, za ktereho se vydavate kdyz to generujete jen pres web? Nezamyslel. Dat klientovi disketu s klientskym certifikatem neni vubec marne.

Zkuste treba pro zacatek trochu pocist (a pochopit), jak klientske certifikaty funguji u apache: http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html#accesscontrol
18.1.2008 03:17 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Především už si o tom konečně něco přečtěte vy.
18.1.2008 08:46 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Jak to ví? Jsou potřeba 2 věci:

1) je tam takové tlačítko "upload file", na to musíte máčknout a vybrat vámi vygenerovaný certificate request. Nebo je tam textarea a tam vložíte obsah daného souboru.

2) musíte doložit že vy jste opravdu vy, to znamená například to potvrdit osobně, telefonicky , či třeba přes nějakou třetí důvěryhodnou osobu.

Dát disketu s klientským certifikátem není problém, ale v kontextu mé odpovědi je podstatné "vygenerovat certifikát z ničeho". Soukromý klíč a žádost o certifikát BYSTE si měl vygenerovat sám. Pokud to za vás udělá někdo jiný, je to stejné, jako když máte vstup do bytu na heslo (bezp. kód), ale to heslo vám nastaví dodavatel toho bezpečnostního systému.

Jediný způsob jak u neproůstřelného bezp. systému zajistit, že heslo znáte vy je, že si ho vygenerujete vy a nikomu ho neřeknete. Pokud to za vás udělá někdo jiný, je to jen váš problém, jestli to akceptujete, nebo ne.

A nepleťte už "certifikát" s "úložištěm klíčů a certifikátů".

Pročítat si samozřejmě nic nemusím, vždyť se tím částečně živím. Prosím pochopte že nepopírám vaše tvrzení, že všechny věci ohledně certifikátů lze vygenerovat na webu úplně komukoliv, já vám klieně vygeneruju co budete chtít, privátní klíč, certifikát, kafe s rohlíkem, budete to mít pěkně v tom vašem PKCS#12 nebo i jiném formátu, ale nesmíte se pak divit, že se za vás budu moc vydávat :D Klíče pod rohožku si taky můžete dát. Ano. Jde to.
18.1.2008 15:22 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Fakt i telefonicky nebo pres treti osobu ?

Nikdo nikomu nebrani (ba se to primo doporucuje, ze) si vygenerovat novy par ihned po importu klientskeho certifikatu. Nechapu, co je tak tezkeho na pochopeni, ze uvodni autentikace jmenem a heslem je urcite slabsi nez pomoci osobne dodaneho klientskeho certifikatu treba pri podpisu smlouvy?

K tomu vasemu "ulozisti": az banky prestanou pouzivat termin podpisovy certifikat a az obchodnici s cp a dokumentace apache/ssl a windows prestanou pouzivat termin klientsky certifikat, ja ho prestanu pouzivat take.

Je videt, ze jste se zasekli na trivialitach a furt dokola mi tady pisete o vstupu do bytu a domku a nechapete, jak se resi pocatecni a vyjimecne stavy. Vite vubec jak casto si lidi zneplatnuji certifikaty?

No nic. Je zcela evidentni, ze i v IT i v bankovnictvi se pouziva pro to vase uloziste termin certifikat - nekdy klientsky nekdy podpisovy. Neni to nejspravnejsi, ale je to fakt. Kdo tomu bude chtit porozumet, nebude mit problem.
18.1.2008 15:33 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Nikdo nikomu nebrani (ba se to primo doporucuje, ze) si vygenerovat novy par ihned po importu klientskeho certifikatu.
Cožeto? Importuju si klientský certifikát, pak ho zahodím a vygeneruji si novou žádost? To je jak v tom vtipu, jak Matfyzák vaří čaj…
18.1.2008 16:01 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Prosim vas, vy jste to evidentne nikdy nepouzival. Vygenerujete si nove klice (a certifikay). Ten, co jste dostal na diskete server zneplatnil a mate konecne u sebe ve stroji onen privatni klic po kterem tak touzite, ktery nikdo jiny zarucene nevidel.
18.1.2008 16:20 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Certifikáty si nevygeneruju, certifikát mi někdo musí podepsat. Pokud bude ten někdo po mně chtít ověření identity (např. občankou), musím stejně za ním, a původní certifikát mi byl k ničemu. Pokud to udělá jen na základě starého certifikátu (jehož privátní klíč vygeneroval on), může to samé udělat i s novým certifikátem – pak je zase zbytečné generovat nový pár klíčů. Takže výsledek – generování nového páru klíčů bylo k ničemu. Ale je to jako s tím přihlašováním se na roota přes jiného uživatele – pokud do nějakého bezpečnostního řetězce přidáme dostatečný počet nesmyslných kroků, začne to hned vypadat mnohem bezpečněji.
19.1.2008 02:33 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Jasne, ze na druhe strane vaseho https spojeni je mimo jine i certifikacni autorita, ktera vam to podepise. Jasne, ze to ma smysl, protoze novy soukromy klic oni tam vubec nevideli a stary uz je revokovan. Jasne, ze banka nebo obchodnik muze defraudovat vase penize a vubec k tomu nepotrebuje vas klic, protoze proste a jednoduse kontroluje vas ucet, a tudiz jim proste musite verit, ze jejich kontrolni mechanizmy funguji. Nastudujte si, jak pres internet funguji dnesni banky. Pro uvodni ziskani klientskeho certifikatu mnohdy staci pridelene jmeno a heslo. Prekvapuje mne, ze s takovou jistotou tvrdite veci, jejichz neplatnost si lze jednoduse overit.
19.1.2008 02:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Tak už si to konečně ověřte. Začněte třeba tím, že si přečtete aspoň některé z těch dokumentů, na které jsme vás odkázali.
19.1.2008 03:12 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Cim tedy podle vas podepisuje podpisovy certifikat?
19.1.2008 04:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Vaše věta nedává smysl. Certifikát nic nepodepisuje, podepisuje člověk resp. aplikace, a to tajným klíčem. Pokud jste se chtěl zeptat, čím se podepisuje certifikát, pak tajným klíčem vydavatele (issuer).
19.1.2008 10:56 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Predstava, jak radite lidem, ze muzou klidne rozdavat svuj bankovni podpisovy certifikat je sice kruta, ale vidim, ze nejste ochoten se bavit o praktickych zalezitostech a jen stale dokola opakujete trivialni teoreticke veci. Tak si to uzijte.
19.1.2008 11:10 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Můžete nám vysvětlit, k čemu jinému slouží certifikát, než k rozdávání? Certifikát znamená, že někdo něco ověřil. Tahle informace je mně samotnému na houby, já sám sobě věřím. Ale potřebuju to ověření pro další lidi, kteří mi věřit nemusí, a potřebují od mne nějaké potvrzení – certifikát. Když dostanete na závěr nějakého školení certifikát, že jste jej absolvoval, není ten certifikát pro vás, abyste na školení měl nějakou památku, ale abyste se tím certifikátem mohl prokázat. Úplně stejně se prokazujete certifikátem veřejného klíče. Podepsaným certifikátem veřejného klíče prokážete, kdo je majitel veřejného klíče, a elektronickým podpisem pak prokážete, že jste majitelem soukromého klíče odpovídajícího tomu veřejnému na certifikátu.

Víte co by bylo pro tuhle debatu užitečné? Kdybyste před každým použitím slova „certifikát“ napsal, co si pod tím představujete. On je to podle vás jednou soubor, jednou certifikát veřejného klíče, jednou certifikát veřejného klíče s přiloženým soukromým klíčem – a pak v tom vzniká zmatek. Myslím, že se snad shodneme na tom, co je veřejný klíč, soukromý klíč, identifikační údaje, elektronický podpis. Takže až někde zase příště použijete slovo certifikát, napište k němu do závorky nebo předem, co přesně to znamená. Jinak se asi nedomluvíme.
19.1.2008 12:29 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Svůj certifikát dám klidně komukoli. A děláte to ostatně i vy, pokud autentizaci pomocí veřejného klíče používáte. Tak ty protokoly prostě fungují. Vaše nepochopení nebo odmítání pochopit na tom nic nezmění.
19.1.2008 10:17 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Jasne, ze to ma smysl, protoze novy soukromy klic oni tam vubec nevideli a stary uz je revokovan.
Nebo si ten nový soukromý klíč vytvořili oni a neviděl jste ho vy. Kdo to ve skutečnosti udělal se zjistit nedá, protože to bylo podepsáno vaším předchozím soukromým klíčem, který ve vašem modelu sdílíte s bankou. Takže to mohl udělat kdokoli, kdo k tomu klíči měl přístup. Podle práva za ten klíč ale zodpovídáte vy.
Jasne, ze banka nebo obchodnik muze defraudovat vase penize a vubec k tomu nepotrebuje vas klic, protoze proste a jednoduse kontroluje vas ucet, a tudiz jim proste musite verit, ze jejich kontrolni mechanizmy funguji.
Jenomže je něco jiného, když někdo z banky např. přinutí bankovní systém odeslat někam peníze z mého účtu,a nebude k tomu možné dohledat žádný můj příkaz – to je pak jisté, že se muselo nějak manipulovat přímo s bankovním systémem. Pokud ale takový převod bude podepsaný mým soukromým klíčem, nebude to pro kontrolní mechanizmy žádný problém, a pokud si budu stěžovat, budu muset nejprve já složitě dokazovat, že já jsem takový příkaz rozhodně dát nemohl. To je jeden ze základních principů kontroly – že jde i zpětně dohledat, kdo co udělal.

Pokud bude banka archivovat všechny příkazy k úhradě i s jejich podpisem, a dotyčný falšovatel nebude mít můj privátní klíč, bude muset podstrčit příkaz podepsaný jiným podpisem. Pokud to bude někdo, kdo má přístup k CA té banky, může si vyrobit klíč a certifikát na moje jméno, a podstrčit to – pak mám ale já pořád šanci dokázat, že já jsem měl ale vydaný jiný certifikát s těmi samými údaji, což ukazuje minimálně na to, že CA té banky udělala něco podivného – a nebudu v tom sám. Pokud ten klíč a certifikát bude od jiné CA, musel by mít pachatel v bance nějakého spolupachatele v té externí CA, který mu vydá ten zfalšovaný certifikát. Pokud však bude můj privátní klíč mít k dispozici banka, prostě to dotyčný podepíše tím klíčem a má po starostech.
Nastudujte si, jak pres internet funguji dnesni banky. Pro uvodni ziskani klientskeho certifikatu mnohdy staci pridelene jmeno a heslo.
Že takhle nějaké banky fungují, to ještě neznamená, že je to tak správně. Banky taky dovolují autorizovat platbu přeříkáním nějakého 4místného pinu po telefonu, pošlou kód k autorizaci jako nešifrovanou SMS, nebo používají certifikát uložený na disketě (a jejich aplikace funguje jen ve Windows), takže si privátní klíč může přečíst každý vir. To ale ještě neznamená, že je to tak správně. A už vůbec bych z toho nevyvozoval, co je součástí certifikátu nebo kde je uložen privátní klíč.
19.1.2008 10:58 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Co ja s tim? Poslete to bankam, zreba zmeni terminologii. Hodne stesti.
19.1.2008 11:38 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Je pravda, že kdyby vám někdo řekl "tady máte váš certifikát s vaším soukromým klíčem, který ve vlastním zájmu nikomu nedávejte do ruky, dokonce ani naší instituci nebo mně", tak by některé klienty mohlo trknout "nojo, ale vždyť vy to už teď držíte v ruce, není to náhodou chyba".

Ale jinak stejně tak důležité, aby nemlžily banky (tedy já nevím, máte nějaký konkrétní příklad banky která vám vygeneruje váš privátní klíč?) je důležité, aby princip chápali klienti. Skoro bych řekl že i důležitější :) Pan Jirsák to naštěstí vysvětlil velmi detailně, polopaticky a správně, tak třeba to někomu pomůže.
19.1.2008 09:42 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
To je naprosto k ničemu, i když laikovi to můžete podat jako "a teď si vygenerujte nový pár, abyste měl jistotu". Ten váš postup hraje stále do karet vydavateli certifikátu -- on má v ruce trumf, že může vaším jménem a s vaším podpisem prostřednictvím někoho třeba spáchat kyberzločin :D

Samozřejmě když tomu někdo nerozumí, tak se nechá přesvědčit k čemukoliv. Stačí zdá se trochu zamlžit pojmy jako certifikát :) Věci ohledně certifikací se nejednou stanou o něco jednoduší. Vlk se nažral, a koza z levé strany vypadá celá.

Obecně -- vygenerovat si nový pár a požádat o certifikát jen proto, abyste ten starý certifikát potom mohl zneplatnit, protože se domníváte, že by mohl být zneužit 3. osobou, to je opravdu špatný postup :D Správný postup je ihned po zjištění možné kompromitace starý certifikát zneplatnit a absolvovat certifikační kolečko pěkně znovu.
19.1.2008 09:59 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Opatrně s těmi spojeními jako "vy jste to evidentně nikdy nepoužíval" okořeněnými těmi vašimi nesmysly okolo :)

Ten onen privátní klíč který nikdo jiný zaručeně neviděl je v tuto chvíli k ničemu, nemá nic společného s důvěryhodností, nic společného s vámi, celá certifikace je v tuto chvíli k ničemu. Při tomto postupu můžete rovnou ten první certifikát dostat jen na základě dobrého slova :) Protože díky tomu, že nemáte privátní klíč pod kontrolou, to všechno za vás může udělat někdo jiný, a vy s tím nezmůžete ani mrť.

Samozřejmě -- pokud svému obchodníkovi s cennými papíry věříte a jste s ním tak říkajc jedna ruka, je to třeba váš brácha či nejlepší kamarád, není v tom až takový problém :D Ale to pak není důveryhodnost založená na důvěryhodné CA, ale je to důvěryhodnost založená na kamarádšoftu.
19.1.2008 09:23 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Ten člověk je dobrej :D Já myslel že už jen tak prudí a budu litovat času stráveného v diskuzi, ale zdá se že teprve teď to začíná být sranda :D :D
18.1.2008 08:48 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Ne, to není jiná cesta. To je ta samá cesta, až na to, že klient nechal za sebe někoho jiného vygenerovat pár soukromého a veřejného klíče. A pak dostal certifikát s přibaleným soukromým klíčem.

Debata začala autorizací klienta přes ssh. Tam žádné certifikáty, ani revokované ani klientské, nejsou. Co by ten certifikát certifikoval?
18.1.2008 15:23 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Presne to, co klientsky certifikat u apache.
18.1.2008 15:35 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Klientský certifikát Apache certifikuje, že údaje uvedené na certifikátu někdo ověřil a opravdu identifikují majitele přiloženého veřejného klíče (přesněji – majitele soukroméhoklíče odpovídajícího přiloženému veřejnému klíči). O ssh žádná taková identifikace není – tam máte jen veřejný klíč (u něj můžete mít v souboru autorizovaných klíčů poznámku, ale ta není podepsaná, takže to není žádný certifikát).
18.1.2008 16:05 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Nenapadlo vas nekdy, ze jde vlastne o podpis ? Pokud byste umel podepsat neco bez privatniho klice, bylo by to na Fieldsovu medaili.
18.1.2008 16:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Ano, certifikát je podepsaný balíček veřejného klíče, identifikačních údajů a nějakých dalších atributů certifikátu. SSH používá k ověření pouze veřejný a soukromý klíč, žádná identifikace tam není, takže není co podepisovat. Kde je tedy něco k podepsání? A vůbec – otevřete si někde adresář .ssh uživatele, který má povoleno přihlášení přes ssh s klíčem. Najdete tam soubor authorized_keys. Podívejte se dovnitř. Jsou tam certifikáty, nebo jen veřejné klíče (případně s komentářem)?
19.1.2008 02:19 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Klientsky certifikat apache podepisuje, protoze obsahuje soukromy klic. A to je vlastnost, ktera mi chybi u ssh. Pisu to tady zcela zretelne a ne poprve. Co je na tom nejasneho?
19.1.2008 02:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Pořád stejný nesmysl. Certifikát neobsahuje žádný tajný klíč. Certifikát neobsahuje žádné tajné informace, jinak byste ho nemohl poskytovat každému, kdo potřebuje ověřit vaši identitu.
19.1.2008 03:12 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Mimoradne vtipne.
19.1.2008 04:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
To není vtipné, to je realita. Přečtěte si, prosím, konečně některý z těch dokumentů. Nebo aspoň přestaňte mystifikovat tazatele a další čtenáře této diskuse.
19.1.2008 10:27 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Klientsky certifikat apache podepisuje, protoze obsahuje soukromy klic.
Ne, klientský certifikát nic nepodepisuje. Podepisuje soukromý klíč, který patří k certifikátu, a ten certifikát vás identifikuje (a zároveň je podepsaný – certifikovaný – aby bylo potvrzené, že někdo ověřil, že jste ten, za koho se v certifikátu vydáváte). Při přihlášení k HTTPS serveru certifikátem se odešle elektronický podpis (podle kterého server pozná, že máte soukromý klíč) a vedle něj také certifikát (ze kterého si server ověří, že patří k tomu soukromému klíči, a ze kterého zjistí, kdo jste). Takže certifikát nemůže obsahovat soukromý klíč, protože byste svůj soukromý klíč při každém přihlášení poslal bůhvíkam.
A to je vlastnost, ktera mi chybi u ssh.
Co konkrétně vám chybí u ssh? U ssh se neověřuje identita uživatele podle nějakých dodatečných identifikačních údajů, tam je identita jednoduše dána veřejným klíčem. K ssh se nepřihlašuje „Petr Novák, Praha“ (jako je tomu u HTTPS – i když i tam se často používá identifikace např. sériovým číslem certifikátu), ale přihlašuje se tam majitel soukromého klíče odpovídajícího určenému veřejnému klíči. Protože přístup k ssh se většinou nedává potenciálně neomezenému množství lidí (k čemuž je dobré to všechno okolo certifikačních autorit, co je vystavené nad základním principem asymetrické kryptografie dvou klíčů), ale dáváte to jen omezené skupince lidí, takže není problém si obstarat přímo jejich veřejné klíče.
17.1.2008 22:12 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
p. Michal Kubecek mi zaslani soukromeho klice v certifikatu postou primo doporucil
A co Michal Kubeček doopravdy napsal:
Můžete mu ho přinejhorším poslat mailem
Obrázek už si snad každý udělá sám…
17.1.2008 22:19 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Takze co ze jste to doporucil zaslat ? Vite, co technicky znamena odvolani klientskeho certifikatu ?
17.1.2008 23:29 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Pan Kubeček s distribucí soukromých klíčů společně s certifikátem v úložišti klíčů a certifikátů (tedy keystore, nebo podle vás "certifikát") asi nemá problém za předpokladu, že je chrání dostatečně silné heslo, jehož prolomení by trvalo řádově milióny let, případně o pár dní déle ;)
17.1.2008 23:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Navíc jsem to vzhledem k tomu, na co jsem odpovídal, uváděl pouze jako nouzové a dočasné řešení mimořádné situace. Dopustil jsem se chyby, že jsem to výslovně neuvedl.
18.1.2008 08:45 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Já tam tedy to slovo „přinejhorším“ stále vidím, ale některým v diskuzi se asi nezobrazuje…
17.1.2008 21:43 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Keystore se opravdu neříká certificate. Certifikát je soubor, a PKCS#12 kterým se tu oháníte je formát. Já nemůžu za to, že v tom formátu může být i klíč i certifikát :) To je stejné jako že ve formátu JPEG mohou být i fotky z dovolené, i porno, ale to neznamená že fotky == porno. Stejně tak neznamená že v něčem .p12 je vždy certifikát i privátní klíč. Asi tak.
17.1.2008 18:48 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Proč by ho neměl mít. Jasně jsem vám vysvětlil, že tajný klíč máte. Ale máte ho jen a jen vy, není důvod, proč byste ho měl dávat komukoli jinému, tedy ani autoritě. Naopak, je krajně nežádoucí ho dávat k dispozici komukoli jinému.
17.1.2008 18:53 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Vite, ze jesitnost neni kladna vlastnost ?
17.1.2008 18:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Nechápu, jak ješitnost souvisí s tím, že máte zmatek v základních pojmech. Leda snad že byste mluvil o svém tvrdošíjném odmítání akceptovat, že jste se zmýlil.
17.1.2008 15:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Ad b: k čemu by to bylo? Zodpovědnost za to, že se klíč nedostane do nepovolaných rukou, je na jeho držiteli. Pokud dojde ke kompromitaci tajného klíče, je nutné zrušit oprávnění pro takový klíč. Jinak by nemělo smysl autentizaci klíčem vůbec zavádět a mohli bychom rovnou zůstat u hesel.
17.1.2008 15:50 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
No a prave proto jde o jednoprvkove prihlaseni :)

Ohledne zodpovednosti - jiste, ale vy musite mit nejen rychly mechanizmus, jak s kompromitovanymi certifikaty nakladat ale taky jeste v idealnim pripade v mezidobi neomezit provoz. Dvouprvkove prihlaseni umoznuje ponechat v platnosti i kompromitovany certifikat nez se dotycne veledulezite trdlo vrati zpatky na zakladnu, pokud mu napriklad zmenite heslo.
17.1.2008 16:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Ten, kdo může na serveru změnit to heslo, může i zrušit oprávnění pro příslušný klíč. V případě SSH je to kdokoli, kdo má na serveru práva daného uživatele nebo roota.
17.1.2008 16:26 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Rozdil je ale v tom, ze v mem pripade dotycny muze fungovat, kdyz mu telefonicky sdelim heslo. Certifikat mu telefonem neposlu.
17.1.2008 16:32 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Můžete mu ho přinejhorším poslat mailem a do telefonu nadiktovat heslo.
17.1.2008 18:08 Vinc
Rozbalit Rozbalit vše Re: ssh a port
prosim vas, kdyz uz se tady rozjela sahodlouha diskuze o certifikatech, zeptam se na neco. Mam vytvorenou svoji certifikacni autoritu CA prez kterou jsem vytvoril klientský certifikat. Klient tedy dostal soubory: ca.crt (certifikac certifikacni autority, ktery si nainstaloval do pc), dale pak soubor klient.crt a klient.key. A zeptam se.. soubor klient.key je ten jeho soukromy klic, ktery by si mel chranit? Kdyz tedy navaze tento klient napr. openvpn spojeni, probiha to tak, ze tou dvojici svych klicu zabezpeci prenos a cilovy uzivatel s odkazem na certifikat ca (ktery ma nainstalovany), zjisti podle klientskeho certifikatu, jestli se jedna prave o toho spravneho klienta? Tzn, ze napr. pri podepisovani dokumentu musim mit k dispozici oba sve klice (soukromy a verejny) a do podpisu se potom zahrne muj verejny klic? Je to tak nejak? Pokud vas muzu poprosit, napiste to nejak v kostce lajcky. Kolega vyse to nakous hezky s klicema od domu atd...:)
17.1.2008 18:31 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Identita souboru zalezi samozrejne na postupu, jakym vznikly. Pokud jste se drzel nejakeho rozumneho navodu, tak klient.key je asi nejspise opravdu soukromy klic. Ohledne OpenVPN vam moc neporadim, protoze ho neznam, ale urcite zalezi na konfiguraci, jestli bude klient overovan tak ci onak.

Jinak podepisujete vzdy svym soukromym klicem a sifrujete verejnym klicem prijemce. Ten, kdo desifruje, potrebuje svuj soukromy klic a ten, kdo overuje pravost odesilatele, vas verejny ziskany z duveryhodneho zdroje - bud osobnim predanim (za predpokladu, ze jste predtim nemeli 12 piv:) anebo formou certifikatu od duveryhodne certifikacni autority (ne klientskeho:)
17.1.2008 18:50 Vinc
Rozbalit Rozbalit vše Re: ssh a port
takze kdyz to shrnu.. budu brat napr. priklad digitalniho podpisu vydaneho oficialni certifikacni autoritou Ceska posta. A modelova situace bude odeslat digitalne podepsany email. Urad, na ktery zasilam mail, bude mit nainstalovany certifikat od Ceske posty. Ja svym pri podpisu mailu musim mit k dispozici svuj soukromy (i verejny?) klic. Kdyz mail doputuje, urad si pomoci certifikatu Ceske posty overi, zda jsem to opravdu ja?
17.1.2008 18:56 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Příjemce si pomocí veřejného klíče (certifikátu) autority (ČP) ověří, že certifikát, který jste mu poslal, je opravdu váš (tedy že to autorita tvrdí).
17.1.2008 18:58 Vinc
Rozbalit Rozbalit vše Re: ssh a port
tzn., ze ja v tomto pripade vubec nepotrebuju svuj verejnej klic?
17.1.2008 19:02 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Teoreticky ne, prakticky ho potřebujete jako součást svého certifikátu, který k podpisu přiložíte. Kdybyste tam veřejný klíč nepřiložil, musel by příjemce zprávy zkoušet, se kterým veřejným klíčem se mu podaří zprávu rozšifrovat.
17.1.2008 19:04 Vinc
Rozbalit Rozbalit vše Re: ssh a port
aha, a to prilozeni je automaticke (myslim tim rovnou zahrnute v podpisu) nebo ho mam posilat v mailu rekneme jako prilohu?
17.1.2008 19:05 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Ten podpis v praxi vypadá tak, že se k mailu přidá speciální attachment, kde je vše potřebné.
17.1.2008 19:09 Vinc
Rozbalit Rozbalit vše Re: ssh a port
takze bych mel myt oba sve klice u sebe v jednom adresari napr. na flashce a napr. mozilla si prebere co potrebuje, pokud dam digitalne podepsat zpravu a vyberu umisteni sveho soukromeho klice..?
17.1.2008 19:15 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Pro použití v Mozille se obvykle naimportuje klíč i certifikát do jejího vlastního uložiště. Nejsem si jistý, jestli Mozilla/Firefox umožňuje i použití klíče a certifikátu přímo ze souboru.
17.1.2008 19:20 Vinc
Rozbalit Rozbalit vše Re: ssh a port
no nerad bych importoval tedy sve klice nekam do (i kdyz sveho pc).. nejlepsi prehled o klici preci mam, kdyz ho mam v kapse na flashce.. klice od bytu si taky nenechamam pod rohozkou :)
17.1.2008 19:32 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port

Jak říkám, nevím z hlavy, jestli Mozilla umožňuje použít klíč přímo ze souboru. Nejspíš by ale šlo udělat to, že přesunete soubor s jejím repozitářem klíčů a certifikátů na flashdisk a místo něj tam dáte symbolický link.

Ten soubor, kam si Mozilla ukládá klíče a certifikáty, je ale chráněný heslem.

18.1.2008 11:33 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Zkoušel jsem to na Firefoxu 2.0 ve Windows (v linuxovém nemám naimportován žádný certifikát), a dialog pro výběr certifikátu pro https autorizaci umožňuje vybrat pouze z certifikátů nainstalovaných v úložišti Firefoxu, není tam možnost zvolit přímo soubor s certifikátem. Teoreticky by na to mohla existovat nějaká konfigurační volba, která by odblokovala nějakou skrytou možnost toho dialogu, to jsem nezkoumal, ale viděl bych to jako dost nepravděpodobné.
17.1.2008 19:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Většinou ano. Nepotřeboval byste ho pouze v případě, že ho příjemce už bude mít a bude používat k ověření vaší identity přímo ten veřejný klíč (pak nebudete potřebovat žádné autority). Ale i tak by to bylo velmi nepraktické, protože byste svůj veřejný klíč nemohl poskytnout dalším subjektům, které s vámi chtějí komunikovat. Takže je to spíš ryze teoretická úvaha, v praxi máte a používáte oba.
17.1.2008 19:18 Vinc
Rozbalit Rozbalit vše Re: ssh a port
ted me jeste napada, kdyz klic napr. ztratim a necham si ho u cert. autority zablokovat, tak jak ten urad se svym certifikatem od te ca zjisti, ze uz klic neni funkcni? to musi porad stahovat nove certifikaty nebo jak?
17.1.2008 19:29 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port

Jsou v podstatě dvě možnosti. Jednak autorita vydává CRL (Certificate Revocation List), tj. jakýsi stoplist certifikátů, kterým ještě nevypršela platnost, ale nemají být akceptovány. Tan, kdo považuje autoritu za věrohodnou, by si měl tyto CRL pravidelně stahovat. Druhou možností je použít protokol OCSP (Online Certificate Status Protocol), který umožňuje se online dotázat na platnost certifikátu v okamžiku, kdy ho někdo použije.

Oboje ale samozřejmě předpokládá, že se ten, kdo váš podpis ověřuje, bude chovat zodpovědně, tedy že buď bude stahovat CRL nebo ověřovat pomocí OCSP. Nebude-li dělat ani jedno, máte problém. Tedy měl by ho mít spíš on, protože když akceptuje podpis revokovaným certifikátem, vy byste měl být schopen prokázat, že už byl v tu chvíli revokován, a takový podpis by neměl být pro vás závazný.

17.1.2008 19:35 Vinc
Rozbalit Rozbalit vše Re: ssh a port
chapu, sam mam na serveru pro openvpn vytvoreny crl.pem, ktery si server overuje.. nevedel jsem, ze je to tak (nebo spis melo byt) i na uradech.. pro dnesek;) toho uz nechame.. moc jste mi vsichni pomohli..diky mockrat.
17.1.2008 21:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Druhá varianta (OCSP) je spíše teoretická, protože pokud vím, ani jedna z českých akreditovaných CA dotazy přes OCSP neumožňuje.
17.1.2008 19:00 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Úřad má k dispozici certifikát s veřejným klíčem certifikační autority (třeba PostSign). Vy dokument podepíšete svým soukromým klíčem, a k dokumentu připojíte certifikát se svým veřejným klíčem (a identifikačními údaji, že jste to vy), a dál k němu můžete připojit certifikát s veřejným klíčem certifikační autority (ten samý, který má úřad; certifikační autorita podepsala soukromým klíčem odpovídajícím tomuto veřejnému klíči váš certifikát).

Na úřadě pak ověří, že podpis byl vytvořen soukromým klíčem odpovídajícím veřejnému klíči na vašem (přiloženém) certifikátu, a že váš certifikát byl podepsán soukromým klíčem odpovídajícím veřejnému klíči na certifikátu certifikační autority.

Celý řetězec se přikládá proto, že může být delší, než jenom dva certifikáty. Autorita podepíše certifikát, jehož majitel teprve podepíše váš certifikát. Je potom otázka zda vy tomuhle řetězci důvěřujete, ale pokud ano, potřebujete k ověření všechny certifikáty na cestě.

Pokud jde ale o ověření dle českého zákona, musí být váš certifikát podepsán přímo certifikační autoritou (tj. řetězec sestává ze dvou certifikátů – váš, a kořenový certifikát certifikační autority – třeba PostSignum). Protože to že PostSignum ověřil totožnost a podepsal certifikát Frantovi Vomáčkovi ještě nezaručuje, že Franta nebude za dva lahváče podepisovat svým certifikátem jakýkoliv certifikát a žádnou totožnost ověřovat nebude.
17.1.2008 18:50 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ssh a port
Podpis samotný se vytvoří z podepisované zprávy vaším soukromým klíčem. Teoreticky to stačí, prakticky s „vedle“ podpisu připojuje i veřejný klíč podepsaného, častěji pak certifikát veřejného klíče, a nejlépe všechny certifikáty veřejných klíčů od podepsaného až po kořenovou autoritu. Důvod je jednoduchý – samotný podpis k ověření stačí, ale musíte vědět, jakým veřejným klíčem máte podpis dešifrovat – proto je dobré ten veřejný klíč připojit. Jenže pak byste po ověření věděl jenom to, že dokument podepsal majitel soukromého klíče odpovídajícího přiloženému veřejnému klíči. Jenže pokud nemáte nějak bezpečně ověřeno, komu ten klíč patří, nevíte zase nic. Proto se přikládá i certifikát a všechny certifikáty na cestě ke kořenovému certifikátu. Vy pak máte ve svém úložišti důvěryhodných certifikátů uložený jenom ten kořenový certifikát, a ověříte platnost všech podpisů na té „cestě“ certifikátů, a nakonec ověříte, že kořenový certifikát je některý z těch, kterým důvěřujete. (Přičemž to vše by samozřejmě měl dělat rozumný software automaticky a vám jenom na konci řekne „ověřeno“).
17.1.2008 18:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
soubor klient.key je ten jeho soukromy klic, ktery by si mel chranit?

Přesně tak.

Tzn, ze napr. pri podepisovani dokumentu musim mit k dispozici oba sve klice (soukromy a verejny) a do podpisu se potom zahrne muj verejny klic?

Dokument podepíšete tajným klíčem a součástí toho podpisu je identifikace toho, o jaký klíč se jedná. V jednodušším případě má příjemce přímo váš veřejný klíč, takže může provést ověření rovnou pomocí něj. Pokud ho nemá, vy mu ho pošlete, ale on nemá jistotu, že je opravdu váš (že ho cestou nějaký záškodník nevyměnil). Pokud nemá možnost váš veřejný klíč získat nějakým důvěryhodným kanálem, můžete použít ten certifikát, který si může ověřit pomocí veřejného klíče autority, která ten certifikát vydala. Autorita pak ručí za to, že klíč je opravdu váš.

17.1.2008 18:13 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: ssh a port
Jiste. Vsechno jde, kdyz se chce. Nekteri dokonce ani nemusi mit za kazdou cenu pravdu.
17.1.2008 13:21 VlNo
Rozbalit Rozbalit vše Re: ssh a port
ad1: ale co kdyby? je lepsi jim nedoprat vubec, aby neco zkousely... ad2: z jakeho duvodu? Roota maji hned na rane, pouzitim tohoto postupu preci musi jeste krom hesla uhadnout uzivatele napr. k0lob3zka5478 ,ne? :) ad3: no reseni, radsi nic nevedet mi prijde trosku divoke:)
17.1.2008 13:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port

Ad 1: to by bylo hezké, ale použitím defaultního portu nic takového neuděláte.

Ad 2: nedávno tu na toto téma byla dlouhá a bouřlivá diskuse, kde jsem důvody popsal velmi podrobně.

Ad 3: Poud je jediný problém v tom, že vám vadí ty hlášky v logu - a to by měl být - pak mi jejich odfiltrování připadá jako velmi jednoduché a praktické řešení.

17.1.2008 15:27 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: ssh a port
ano, boli to velmi pekne pseudoargumenty podporene zamerne a sikovne zmanipulovanymi grafmi ;)

inak ja osobne mam SSH demona taktiez na nestandarndom porte, prave kvoli tym logom (a mam teda na 100% klud, zatial som ziadny pokus o prihlasenie nezaznamenal [okrem mojich :)]).
17.1.2008 15:32 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
O tom zmanipulování tam také někdo něco tvrdil, jen nebyl schopen říct, v čem konkrétně jsou ty grafy špatně...
17.1.2008 15:54 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: ssh a port
ale ja som presne ukazal, v com su zle. nasledne som ti poradil, ako dostanes tie spravne.
17.1.2008 16:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Jak už jsem řekl: ať si to každý přečte sám a udělá si obrázek.
17.1.2008 15:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Ale ať si tu diskusi každý přečte sám a udělá si obrázek, kdo používal logické argumenty a podkládal je konkrétními čísly a kdo si jen hrál s pocity.
17.1.2008 13:27 Franta
Rozbalit Rozbalit vše Re: ssh a port
Dobrý je také povolit přístup na SSH pouze z vybraných adres. Případně blok(y) některých IP úplně zakázat a logovat pouze ty, který prošly tímto hrubým sítem.
Ondroid avatar 17.1.2008 13:27 Ondroid | skóre: 32 | blog: Hombre
Rozbalit Rozbalit vše Re: ssh a port
Nedávno tu byl na podobné téma slušný megaflejm a už je to tu zase. :-) IMHO dávat sshd na jiný port a zakazovat přímé přihlášení roota v zájmu zvýšení bezpečnosti je dobré tak akorát pro lepší pocit.
unknown_ avatar 17.1.2008 13:52 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: ssh a port
Zakázat přihlášení za roota pro zvýšení bezpečnosti rozhodně je. Můžeš mít jméno usera téměř jako heslo. A kdyby ne, tak stejně jde jméno hůře uhádnout než prostě "root".
Ondroid avatar 17.1.2008 14:18 Ondroid | skóre: 32 | blog: Hombre
Rozbalit Rozbalit vše Re: ssh a port
To ano. Ale daleko pohodlější je o těch pár znaků oproti původnímu stavu prodloužit heslo roota a hlásit se přímo na něj. Ten user navíc je jen zbytečná komplikace rootova života.
18.1.2008 10:57 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Ten user navíc je jen zbytečná komplikace rootova života ale pouze za předpokladu, že mu to ten život komplikuje. Tento váš předpoklad, že mu to ten život komplikuje, ale nemusí být vždy platný :) To, že to vám připadá pohodlnější ještě neznamená, že to tak platí pro každéno. To jen tak na okraj :)
17.1.2008 14:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ssh a port
Přečtěte si, prosím, tu předchozí diskusi na toto téma, ať neopakujete chyby, které tam už byly vysvětleny.
unknown_ avatar 18.1.2008 09:27 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: ssh a port
Jiný názor na věc ještě neznamená, že je chybný.
18.1.2008 10:53 Ash | skóre: 53
Rozbalit Rozbalit vše Re: ssh a port
Také myslím. Zatím jsem nikde neviděl nikde důkaz, že provozování ssh na nestandardním portu a nepovolení přihlášení uživatele root přes ssh nějakým způsobem snižuje bezpečnost systému :)
18.1.2008 20:22 Vinc
Rozbalit Rozbalit vše Re: ssh a port

Vlákno bylo přesunuto do samostatné diskuse.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.