SSH a externi "token" PDA? (doplneni)

Miroslav Prymek xprymek na fi.muni.cz
Sobota Únor 12 14:45:57 CET 2005


Michal Čihař wrote:
> On Sat 12. 2. 2005 13:06, Miroslav Prymek wrote:
> 
>>Jasne ze takhle se to da udelat - ted to tak mam: ~/.ssh/id_rsa je
>>symlink do adresare, kde je primountovana SD karta (USB ctecka).
>>Problem tohohle reseni ale je, ze kdyz se nekdo dostane do toho
>>stroje, kde je ten klic primountovanej, muze si ho zkopirovat (coz
>>ja nepoznam) - a ma razem pristup ke vsem strojum, ktere klic
>>pouzivaji
> 
> 
> Na tohle by musel mít dostatečná práva ... nebo jenom já mountuju usb 
> klíčenku tak paranoidně, že k ní má přístup jen ten uživatel co jí 
> přimountoval? :-)

Mluvim o tom, ze kdyby ziskal na tom stroji roota, ziska tim zahy 
pristup ke vsem strojum v siti, ktere akceptuji ssh klic... cehoz se
prave chci vyvarovat

> 
>>:( -> chci nejake reseni, kde by byl klic ulozen POUZE na PDA a tedy
>>
>>de facto nepristupny z toho stroje, resp. pristupny nejakym
>>nestandardnim zpusobem (TCP/IP jednoduse sifrovane nejakym heslem?),
>>o kterem by utocnik musel vedet... (odtud minula zminka o nutnosti
>>disassemblovat upravene ssh pro utocnika...)
> 
> 
> určitě by šlo forwardovat ssh agenta z pda - tj. ssh z pda na ten 
> počítač a pak tam používat agenta z pda ... celkem bez nestandardních 
> prostředků :-)

To zni docela zajimave (muzete to trochu rozvest?), nicmene ja bych 
prave radsi pouzil nejake "nestandardni" reseni, aby pripadny utocnik 
nevedel, odkud klic ziskat (nebo aby alespon byl zasifrovany nejakym
heslem, ktere by bylo napevno ulozeno v ssh, takze by ho musel 
disassemblovat...)


Další informace o konferenci Linux