¿Es seguro el comando ssh-copy-id?

3

Tengo 2 servidores Ubuntu 14.04 con openssh-server instalado en ambos. He configurado la autenticación basada en claves utilizando claves RSA, sin frase de contraseña, para poder ejecutar scripts de copia de seguridad automatizados, en un sitio remoto, con rsync.

Normalmente hago el intercambio de claves a través de una red LAN, mientras que el inicio de sesión basado en contraseña todavía está habilitado, luego deshabilito la contraseña solo ssh, antes de llevar el servidor remoto a su ubicación externa. Por lo tanto, todos los usuarios inician sesión a través de las claves con frase de contraseña, y los scripts automatizados usan claves sin frase de contraseña.

Para compartir claves, uso el comando ssh-copy-id .

Todos los comandos para uso externo utilizan un puerto alto no estándar en el módem / enrutador externo, reenviado al enrutador en la subred, que luego NAT se dirige al puerto estándar 22 en el servidor remoto.

Si quisiera agregar una nueva clave de usuario, podría usar un usuario actual para habilitar el inicio de sesión solo con contraseña, lo que permitiría usar ssh-copy-id (ya que requiere la contraseña del usuario. Después de usar ssh-copy-id para establecer hasta ssh basado en clave, deshabilitaría el inicio de sesión basado en contraseña más adelante.

¿Existe algún riesgo al usar ssh-copy-id a través de una conexión a Internet?

    
pregunta Arronical 24.11.2015 - 17:36
fuente

1 respuesta

3

Como se señaló en los comentarios, no hay otro riesgo que usar% ssh con contraseña.

Esto significa que desde el cliente debe pasar por la verificación común de la clave del host o la huella digital y luego todo (contraseñas, claves y toda la comunicación) está cifrado.

Incluso puedes echar un vistazo a ssh-copy-id , ya que es solo un simple script de shell haciendo la "magia", que consiste en un inicio de sesión basado en contraseña, copia tu clave allí, establece los permisos correctos. Además, está intentando asegurarse de que la clave se haya copiado correctamente y funcione bien para la autenticación de clave de acceso público.

    
respondido por el Jakuje 24.11.2015 - 23:12
fuente

Lea otras preguntas en las etiquetas