SSH a externi "token" PDA? (doplneni)
Miroslav Prymek
xprymek na fi.muni.cz
Sobota Únor 12 14:45:57 CET 2005
Michal Čihař wrote:
> On Sat 12. 2. 2005 13:06, Miroslav Prymek wrote:
>
>>Jasne ze takhle se to da udelat - ted to tak mam: ~/.ssh/id_rsa je
>>symlink do adresare, kde je primountovana SD karta (USB ctecka).
>>Problem tohohle reseni ale je, ze kdyz se nekdo dostane do toho
>>stroje, kde je ten klic primountovanej, muze si ho zkopirovat (coz
>>ja nepoznam) - a ma razem pristup ke vsem strojum, ktere klic
>>pouzivaji
>
>
> Na tohle by musel mít dostatečná práva ... nebo jenom já mountuju usb
> klíčenku tak paranoidně, že k ní má přístup jen ten uživatel co jí
> přimountoval? :-)
Mluvim o tom, ze kdyby ziskal na tom stroji roota, ziska tim zahy
pristup ke vsem strojum v siti, ktere akceptuji ssh klic... cehoz se
prave chci vyvarovat
>
>>:( -> chci nejake reseni, kde by byl klic ulozen POUZE na PDA a tedy
>>
>>de facto nepristupny z toho stroje, resp. pristupny nejakym
>>nestandardnim zpusobem (TCP/IP jednoduse sifrovane nejakym heslem?),
>>o kterem by utocnik musel vedet... (odtud minula zminka o nutnosti
>>disassemblovat upravene ssh pro utocnika...)
>
>
> určitě by šlo forwardovat ssh agenta z pda - tj. ssh z pda na ten
> počítač a pak tam používat agenta z pda ... celkem bez nestandardních
> prostředků :-)
To zni docela zajimave (muzete to trochu rozvest?), nicmene ja bych
prave radsi pouzil nejake "nestandardni" reseni, aby pripadny utocnik
nevedel, odkud klic ziskat (nebo aby alespon byl zasifrovany nejakym
heslem, ktere by bylo napevno ulozeno v ssh, takze by ho musel
disassemblovat...)
Další informace o konferenci Linux