ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Avatar utente
london3
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 555
Iscrizione: domenica 19 gennaio 2014, 16:22
Desktop: ubuntu:GNOME
Distribuzione: Ubuntu 22.04.1 LTS

ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da london3 »

Codice: Seleziona tutto

$ rsync -nav gdf nas:/volume1/public/abc
The authenticity of host 'nas (192.168.1.120)' can't be established.
ECDSA key fingerprint is BLABLABLA
Are you sure you want
 to continue connecting (yes/no/[fingerprint])? BLABLABLA
Warning: Permanently added 'nas,192.168.1.120' (ECDSA) to the list of known hosts.
Così da ora in poi non mi vene più chiesta.
Però se lascio il computer a qualche furbetto...
Insomma, non si può evitare?
È una cosa comoda, ma preferisco digitare l'impronta manualmente.
Computer: Lenovo ThinkPad L480
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da Filoteo »

Però se lascio il computer a qualche furbetto...

Cosa dovrebbe accadere?
Avatar utente
london3
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 555
Iscrizione: domenica 19 gennaio 2014, 16:22
Desktop: ubuntu:GNOME
Distribuzione: Ubuntu 22.04.1 LTS

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da london3 »

Che so... qualcosa tipo

$ rsync -a --delete /dev/null [non è il caso di aggiungere altro]

Che so.....
Se lascio le chiavi nella macchina (aperta) cosa potrebbe accadere?
Forse niente... forse...
Computer: Lenovo ThinkPad L480
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da Filoteo »

La fingerprint non è una chiave, è una sequenza di bit che identifica in maniera univoca quel server, visibile a chiunque tenti la connessioni, non è un segreto. Quando esegui il comando rsync, il sottosistema SSH ti chiede se ti fidi che il NAS abbia veramente quell'impronta, cioè che non sia in realtà quella di un impostore che sta tentando di intercettare la comunicazione.
Avatar utente
london3
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 555
Iscrizione: domenica 19 gennaio 2014, 16:22
Desktop: ubuntu:GNOME
Distribuzione: Ubuntu 22.04.1 LTS

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da london3 »

Filoteo ha scritto:
sabato 6 novembre 2021, 14:41
La fingerprint non è una chiave, è una sequenza di bit che identifica in maniera univoca quel server, visibile a chiunque tenti la connessioni, non è un segreto. Quando esegui il comando rsync, il sottosistema SSH ti chiede se ti fidi che il NAS abbia veramente quell'impronta, cioè che non sia in realtà quella di un impostore che sta tentando di intercettare la comunicazione.
Concettualmente hai ragione.
In realtà sai qual'è mia paura?

Codice: Seleziona tutto

$ ssh-add
Enter passphrase: 
$ rsync ... nas:/...
E fin qui va bene.
Ma ho paura che qualche script maligno possa farmi qualche scherzo, usando ad esempio rsync in modo distruttivo (come avevo accennato).
Si, dicono che linux sia relativamente immune ai virus. Ma sinceramente non so fino a quanto.

Una soluzione sarebbe dare il comando ssh-add -d appena possibile, oppure rinunciare alle chiavi rsa, ed usare l'autenticazione tradizionale, cioè digitare ogni volta user/password.
Una seccatura...
Computer: Lenovo ThinkPad L480
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da Filoteo »

london3 ha scritto:
sabato 6 novembre 2021, 15:17
Ma ho paura che qualche script maligno possa farmi qualche scherzo, usando ad esempio rsync in modo distruttivo (come avevo accennato).

Evitare di salvare l'IMPRONTA non protegge in alcun modo da un eventuale script maligno che tenta di usare ssh, visto che può superare la domanda proprio come faresti tu.

london3 ha scritto:
sabato 6 novembre 2021, 15:17
Una soluzione sarebbe dare il comando ssh-add -d appena possibile, oppure rinunciare alle chiavi rsa, ed usare l'autenticazione tradizionale, cioè digitare ogni volta user/password.

Anche rimuovere la CHIAVE privata dalla memoria non protegge, perché lo script può... usarla di nuovo, a meno che non sia protetta da password, ma in quel caso potrebbe usare un keylogger. Quest'ultimo potrebbe essere meno facile quindi potresti usare una chiave RSA criptata e impostare ssh-agent in modo che non memorizzi la chiave, e quindi richieda la password della stessa a ogni accesso echo 'AddKeysToAgent no' >> ~/.ssh/config
Avatar utente
london3
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 555
Iscrizione: domenica 19 gennaio 2014, 16:22
Desktop: ubuntu:GNOME
Distribuzione: Ubuntu 22.04.1 LTS

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da london3 »

Anche rimuovere la CHIAVE privata dalla memoria non protegge, perché lo script può... usarla di nuovo, a meno che non sia protetta da password, ma in quel caso potrebbe usare un keylogger. Quest'ultimo potrebbe essere meno facile quindi potresti usare una chiave RSA criptata
Nello specifico?
e impostare ssh-agent in modo che non memorizzi la chiave, e quindi richieda la password della stessa a ogni accesso echo 'AddKeysToAgent no' >> ~/.ssh/config
La solita seccatura.
Ma non si può avere tutto, ovviamente :)
Computer: Lenovo ThinkPad L480
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ssh: la fingerprint viene aggiunta a ~/.ssh/known_hosts

Messaggio da Filoteo »

Quando crei una coppia di chiavi hai la possibilità di proteggerla con una password. Se la chiave non è in memoria perché hai disabilitato l'agent, uno script malevolo non può automaticamente connettersi a un server, perché ha anche bisogno della tua password.
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 13 ospiti