Deshabilitar todos los mecanismos de seguridad SSH para una subred privada

Navega tus respuestas
1

Entonces estoy ejecutando una subred privada donde no hay conectividad a Internet, entiendo el grave peligro de ejecutar un servidor ssh en Internet sin seguridad.

En pocas palabras, me gustaría poder iniciar sesión en otra máquina en mi subred sin ingresar una contraseña o buscar las claves rsa. Sin contraseña, pero sin contraseña en el sentido tradicional.

Para complicar el problema, arranco desde la red, y el mecanismo que estoy usando para hacerlo (Warewulf) no me permite agregar claves rsa al usuario root.

Estoy buscando una manera de deshabilitar toda la seguridad de ssh a través de los archivos sshd_config y ssh_config.

Gracias.

    
pregunta user52259 18.07.2014 - 21:09
fuente

2 respuestas

1

Suponiendo que OpenSSH, puede (aún así, pero no de manera predeterminada) usar HostbasedAuthentication , que es el mismo esquema (frágil) utilizado por el clásico rsh/rhost antes de que se inventara ssh . Es decir, si la dirección IP del cliente se asigna a un nombre de host listado en un sistema de servidor o archivo de configuración de usuario, se acepta la conexión.

Esto se basa en el rDNS correcto y disponible para sus máquinas locales / confiables, por lo que, a menos que sea parte de una red empresarial administrada meticulosamente, esto probablemente significa: ejecutar su propio servidor DNS - como mínimo dnsmasq o similar - - que es autoritario para local y reenvío no local según sea necesario - que no es necesario si 'subred privada' significa que no se conecta en absoluto; o edite sus máquinas cliente locales en el archivo hosts en cada servidor (al menos) y manténgalas actualizadas.

    
respondido por el dave_thompson_085 19.07.2014 - 04:42
fuente
1

Obviamente, si un atacante logra posicionarse en la red, podrá moverse lateralmente con la misma facilidad que usted. Pero si entiendes eso y quieres aceptar los riesgos:

Configure SSH para usar PAM ( UsePAM yes en /etc/ssh/sshd_config ), luego coloque lo siguiente en /etc/pam.d/sshd : 

auth sufficient pam_permit.so

Esto otorgará acceso inmediato en ese momento.

    
respondido por el David 19.07.2014 - 06:15
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona la regla DROP en iptables? ¿Qué debe verificar un cliente después de obtener un certificado de cliente?