ssh 的私钥就放在~/.ssh 下,不是很容易泄露吗,什么软件都能去读,为什么说比密码安全?

2022-08-19 10:48:55 +08:00
 jurassic2long

如题,题主对网络攻防完全外行,只是从日常使用中感觉是这样。

7315 次点击
所在节点    问与答
45 条回复
q1angch0u
2022-08-19 13:04:50 +08:00
authorized_keys 放的是可以用来登录的私钥对应的公钥,泄漏其实也无妨,况且目录和文件都是 0600 权限的
tool2d
2022-08-19 13:11:22 +08:00
“不用 root ,有权限,但是用户自身的账号权限也能读取呀;”

我看了一眼服务器,并不是。
.ssh 目录默认只能 root 用户自己读取,除非你改过授权了。
heyjei
2022-08-19 13:14:19 +08:00
@jurassic2long 是的,很早之前百度有一个软件中心,专门提供各种软件的下载,就和 360 软件库一样。然后他里面的 Putty 就被加了木马,所有使用过这个版本 putty 的用户,登陆信息全被上传到一个服务器。

事发后,rj.baidu.com 这个域名直接被取消解析。百度软件中心这个产品一夜之间被砍。
ospider
2022-08-19 13:15:38 +08:00
前两天不是刚有个讨论 chrome 在本地明文存储密码的?本地明文才是常态啊……
xzysaber
2022-08-19 13:16:35 +08:00
你确定那是私钥吗?
felixcode
2022-08-19 13:23:32 +08:00
你不知道 chmod 600 设置权限吗?
dcsuibian
2022-08-19 13:28:51 +08:00
mangoDB
2022-08-19 13:47:50 +08:00
目录权限
forbreak
2022-08-19 14:01:25 +08:00
你.ssh 目录都被人 copy 走了。那你还谈什么安全? 安全是防中间过程。
yohn89
2022-08-19 14:27:50 +08:00
你把车钥匙锁在你家保险箱里面,你的保险箱被小偷进来偷走了,然后你说车钥匙不安全?
duanxianze
2022-08-19 14:40:07 +08:00
你对安全的理解有错误,能接触到物理实机的情况下大多数安全措施都没意义了,防的是网络攻击
nu11ptr
2022-08-19 15:26:20 +08:00
~/.ssh 下的私钥如果不是 600 权限,会报错
确实相同用户权限就能访问,最好在创建密钥时额外设置密码
ch2
2022-08-19 17:00:17 +08:00
有了你的私钥,知道你这个私钥能在哪用吗
bleaker
2022-08-19 17:03:22 +08:00
黑客知道了我的私钥,可以 ssh 到我电脑上帮我修 bug 吗。。
halberd
2022-08-19 18:15:13 +08:00
私钥加 passphrase
如果嫌每次都要输 passphrase 麻烦,可以用 ssh-agent 记住密码,这样唯一风险在于被读 ssh-agent 的内存,但那就需要 root 权限了。
GHvyuR7N
2022-08-19 18:21:37 +08:00
密钥登录普通账户,想 sudo 提权老老实实输入密码...
wonderfulcxm
2022-08-19 18:24:00 +08:00
安全是相对的,跟别的普通文件区别不过是权限限定 600 ,只能保证其他用户无法读写,无法保证以你身份执行应用的扫描。
不过 mac 好像有个功能,应用要读写某个目录,会弹出一个提示问是否允许。
theChampion
2022-08-19 18:25:27 +08:00
不安全,user 用户安装的软件,绝大多数的所有者都是 user 本身,这意味着软件想要访问家目录下的.ssh 文件夹不会有任何权限问题。所以私钥一定要设置密码,并且不要运行来历不明的软件。
fuzzsh
2022-08-19 19:01:33 +08:00
DAC 限制不到,要上 MAC 级别的功能
可以买商业解决方案
也可以用 NSA 开发及众多组织和个人参与贡献在 kernel 的 selinux 🌚

我为什么要强调 NSA ?因为遇到很多一听到这个缩写都是闻风丧胆,需求立马砍掉或购买商业解决方案


selinux 建议吃透概念并自行配置,CTRL C V 大概率会导致服务器失联
panzhc
2022-08-20 10:53:47 +08:00
很多人都没有看懂 OP 的问题,其实我也一直有一样的担心,目前想到的办法也就是:
1. 给密钥加密码;
2. 服务器 2FA ;
3. 目前主要用 Linux 办公,常用软件都是开源的,没有 XX ,涉及到各种 IM 软件都在 Mac 上;
4. 做个虚拟机或者其他机器当作跳板,key 放在跳板上。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/873915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX