- 主题:昨天也作死了一把
买个带按键的 openpgp 卡吧,完全没这烦恼。
【 在 cn62 的大作中提到: 】
: 是啊,所以是作死。
: 还有用户名密码都太常用了,一猜即中,我服务器上面有fail2ban,但还没触发ban就猜中了。
: 想短时间用用,没想到这么快被打脸,幸好没root权限。
: ...................
--
修改:Quanm FROM 59.172.176.*
FROM 59.172.176.*
登录 SSH 用,任意服务器上放公钥,私钥存在卡里,
登录的时候要按一下卡上的物理按键。
只要是 SSH 的主机都可以用,而且有代理协议,跳转也可以用。
【 在 cn62 的大作中提到: 】
: 这是个啥?
: 云主机上面怎么用?
--
FROM 59.172.176.*
这就是 SSH 自带的公钥认证登录啊,服务端不需要额外的程序。
只不过私钥证书是存在卡里的,比存在你的本地 .ssh 目录安全多了。
【 在 chunhui 的大作中提到: 】
: 这个是什么原理?服务器上装一个程序,和这个卡通信?
--
FROM 59.172.176.*
奇怪,这东西你们不知道吗?
国产的有 Canokey Pigeon,淘宝有官方店。
飞天诚信 K9 Plus,淘宝和中亚都有。
外国的有 Yubikey 5 NFC,中亚海外购直邮。淘宝上也有国内现货。
【 在 acliche 的大作中提到: 】
: 搜了一下,tb/jd上都没有相关结果
: 这种物理按键安全
--
修改:Quanm FROM 59.172.176.*
FROM 59.172.176.*
不是你说的这样,你说的是动态密码。
就是私钥存储在另外的USB卡里。服务端没有其它的程序。本地有个卡管理程序。
举个插卡登录远程的例子,putty 连接服务器,输入账户名,USB卡闪灯提示要按
一下卡上的按键,按了之后就登录成功了。
这个按键过程也可以取消,但是会降低安全性,如果你本地机器有木马,入侵者
就能在后台启动 ssh 连接远程主机,虽然入侵者盗取不了你的私钥,但是只要你的
USB卡插在电脑上,入侵者就可以利用。所以这个按键过程还是必须的,得人用手指
去按按键才行,入侵者没法远程去按一个物理按键。
只要你妥善保管USB卡,就算你本地存在后门,入侵者也盗取不了你的登录凭证。
【 在 chunhui 的大作中提到: 】
: 我还以为只需要按一下就行了。
: 这种我用过。上面有显示屏显示数字的。或者按或者不用按它定时自动更新,大都是自动更新的。
: 动态更新的,服务端至少需要一个按时间动态生成密钥的程序吧?
: ...................
--
FROM 59.172.176.*
多种协议复合卡。有 openpgp U2F FIDO2 OTP 等等,我用到了至少六个功能:
1、PGP 邮件签名与加密
2、git 代码签名提交,gitee github gitlab 都支持
3、SSH 公钥登录
4、网站两步认证,比如 gitee github google hotmail amazon 等等
5、Linux U2F 本地登录
6、Windows Hello 硬件密钥登录
Windows Linux 可用无疑。
Android 手机可以 NFC 方式使用 SSH 公钥登录的功能。
MAC 不知道具体情况,但是找教程的过程中看到过不少有关的资料,我没有留意。
【 在 hgoldfish 的大作中提到: 】
: 这种卡有标准协议吗?对任何操作系统都可用吗?
--
FROM 59.172.176.*
场景是本地机被隐蔽入侵了,
不说键盘记录器这样简单的玩意,
即使是加密了的私钥,被悄悄拷走了也是一件令人不爽的事情。
远端主机的安全措施往往都很严密,本地机则不会很严格,容易成为突破口。
【 在 oicu 的大作中提到: 】
: 我用ssh的私钥也是有密码的。。。
--
FROM 59.172.176.*
在手机上登录 SSH 时,可以通过 NFC 无接触认证,倒是不用按键。
【 在 chunhui 的大作中提到: 】
: 噢 这种我没用过。原来是插在usb上。我还以为手里拿着一个卡。按一下就登录了。那也太神奇了
--
FROM 59.172.176.*
成本比较高,国产的密钥一个也得 170 块。一般人用个手机短信就行了。
有主机的人确实值得用这个。
【 在 chunhui 的大作中提到: 】
: 这种登录方式应对个人登录网站,app之类的推广。
--
修改:Quanm FROM 59.172.176.*
FROM 59.172.176.*
卡本身就是一台单片机,跟你说的是一回事。
【 在 oicu 的大作中提到: 】
: 可以代理2层穿透使用啊。私钥所在机器-中转-服务器
--
FROM 59.172.176.*