abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
dnes 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 12
včera 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
včera 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 4
20.1. 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 10
20.1. 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
20.1. 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
20.1. 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
20.1. 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 360 hlasů
 Komentářů: 25, poslední včera 13:34
Rozcestník
Reklama

Dotaz: Společný SSH certifikát pro všechny počítače

25.7.2013 02:15 Alda
Společný SSH certifikát pro všechny počítače
Přečteno: 518×
Zdravím,

je možné mít jeden SSH certifikát pro všechny počítače nebo musí mít každý počítač svůj SSH certifikát? Pokud ano, jak to mám udělat? Stačí SSH privatní a veřejný klíč jen vytvořit na jednom počítači a rozkopírovat je pak na jednotlivý počítače?

Děkuji za odpověď

Řešení dotazu:


Odpovědi

Jendа avatar 25.7.2013 03:31 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
Lze, doporučuji ale zvážit, jaké bezpečnostní implikace to může mít. Pak stačí zkopírovat /etc/ssh/ssh_host_*_key*
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
25.7.2013 06:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
Pro přesnost bych ještě dodal, že SSH standardně nepoužívá certifikát, ale prostě jen tajný a veřejný klíč.
xkucf03 avatar 25.7.2013 11:22 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače

Jde ti o pár klíčů na serveru nebo na klientovi? Lze oboje, ale na serveru to je IMHO leda na škodu. Na klientech to určitý smysl dává (nemusíš si na serverech přidávat klíče ze všech klientských počítačů).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
26.7.2013 01:28 Alda
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
Jde o několik klientských počítačů.
xkucf03 avatar 26.7.2013 08:48 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače

Pak je to v pohodě.

Za jisté negativum lze považovat to, že když by došlo k ukradení klíče z jednoho klientského počítače, musíš tento klíč přestat používat všude a vyměnit klíče na všech klientech. Ale on by to byl průšvih tak jako tak (i kdyby každý klient měl svůj klíč), protože útočník by mohl nahrát svůj klíč na server nebo tam provést jinou (hůře odhalitelnou) lumpárnu.

Použít víc klientských klíčů dává smysl v souvislosti s více servery. Příklad: z klientských počítačů A a B se přihlásím na servery X, Y a Z, ale z klienta C se přihlásím jen na server Z – pro případ, že klient C je méně důvěryhodný (vyšší pravděpodobnost ukradení klíče) a server Z je méně důležitý (např. se tam jen ukládají zálohy, ale nejdou číst, mazat, ani napáchat nějakou větší škodu).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
26.7.2013 10:08 Sten
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
Mezi krádeží a útokem často uplyne delší doba a nahrazování klíčů u všech klientů znamená, že klienti do výměny klíče nemohou mít přístup na server (btw. kdo to pak bude na server nahrávat?). Navíc v tom nevidím moc velkou výhodu, rozkopírovávání klíče je IMO úplně stejně složité jako vygenerování nového a jeho nahrání na server.
26.7.2013 11:21 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
Na druhou stranu, když je těch klíčů v authorized_keys moc, nikomu se nebude chtít kontrolovat, jestli tam náhodou není nějaký, který tam nemá co dělat.
xkucf03 avatar 26.7.2013 19:42 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
rozkopírovávání klíče je IMO úplně stejně složité jako vygenerování nového a jeho nahrání na server.

Dejme tomu, že mám desktop a pak si pořídím i notebook – v tom případě si zkopíruji dva soubory a mám přístup na všechny servery i z notebooku. Místo abych musel obcházet všechny servery a přidávat na ně nový klíč.

Nicméně ten přístup, že klíč je vázaný na jedno zařízení a nikdy ho neopouští (ani při kopírování na jiné důvěryhodné zařízení), má taky něco do sebe (např. lze logovat odkud resp. jakým klíčem se uživatel přihlásil), ale přijde mi to trochu pracnější.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
26.7.2013 09:33 Sten
Rozbalit Rozbalit vše Re: Společný SSH certifikát pro všechny počítače
IMO je to oboje dost k ničemu, zjednodušení správy minimální a bezpečnostní rizika vysoká. SSH má podporu více klíčů pro servery i pro klienty, tak je vhodné to používat. Nahrání klíče je poměrně snadné pomoci ssh-copy-id

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.