請問一下 ssh 可以綁定 rsa 或 ed25519 key 登入嗎 ?
因為我看系統是用 busybox 做的 , 沒有 sshd.conf 可以修改。若是能支援 key 登入的話, 這樣安全性也可以高一點。
ssh 能支援 key 登入嗎 ?
-
- 文章: 35
- 註冊時間: 週三 2月 20, 2019 11:22 am
Re: ssh 能支援 key 登入嗎 ?
您好,
目前這個功能是沒有完整支援的, 我司將研議修改以啟用此功能, 並規劃其他配套措施, 提供合適的解決方案!
包含如何產生配對的 key, 如何下載 key 讓使用者保存, 及處理若 key 真的遺失, 如何讓系統管理員移除舊 key, 再重新產生等等...
謝謝您的寶貴建議!
若有其他問題或建議, 歡迎跟我們聯繫, 或繼續在版上提出, 謝謝!
目前這個功能是沒有完整支援的, 我司將研議修改以啟用此功能, 並規劃其他配套措施, 提供合適的解決方案!
包含如何產生配對的 key, 如何下載 key 讓使用者保存, 及處理若 key 真的遺失, 如何讓系統管理員移除舊 key, 再重新產生等等...
謝謝您的寶貴建議!
若有其他問題或建議, 歡迎跟我們聯繫, 或繼續在版上提出, 謝謝!
Re: ssh 能支援 key 登入嗎 ?
感謝您的回覆 !!
我有參考 S 牌的 NAS , 他的 /etc 目錄下有 sshd 這個路徑, 也有相關對應的檔, 依據這樣推測 , 他的 ssh server 應該是用 source code 安裝的 , 而不是用 busybox 內建的. 或許您可以把以下的手法(6個步驟)給 RD 參考 , 看看是否可行,
若有任何技術上的問題, 也歡迎一起討論切磋 , 謝謝
1. get source code from https://ftp.openbsd.org/pub/OpenBSD/Ope ... 9p1.tar.gz
2. add user and group :
install -v -m700 -d /var/lib/sshd &&
chown -v root:sys /var/lib/sshd &&
groupadd -g 50 sshd &&
useradd -c 'sshd PrivSep' \
-d /var/lib/sshd \
-g sshd \
-s /bin/false \
-u 50 sshd
3. config setting
./configure --prefix=/usr \
--sysconfdir=/etc/sshd \
--with-privsep-path=/var/lib/sshd \
--with-default-path=/usr/bin \
--with-superuser-path=/usr/sbin:/usr/bin \
--with-pid-dir=/run
4. build code
make & make install
5. add Config Files
echo "PermitRootLogin no" >> /etc/sshd/sshd_config
echo "PasswordAuthentication no" >> /etc/sshd/sshd_config &&
echo "ChallengeResponseAuthentication no" >> /etc/sshd/sshd_config
6. modify boot Script
make install-sshd
PS : Openssh 經常會發現一些 bug , 也會做修復, 所以建議可以看一下 release note , 如果有用到 release note 提到的功能, 或許也就可以透過更新版本的方式來避開這些 bug .
release note 的網址參考如下 https://www.openssh.com/releasenotes.html
我有參考 S 牌的 NAS , 他的 /etc 目錄下有 sshd 這個路徑, 也有相關對應的檔, 依據這樣推測 , 他的 ssh server 應該是用 source code 安裝的 , 而不是用 busybox 內建的. 或許您可以把以下的手法(6個步驟)給 RD 參考 , 看看是否可行,
若有任何技術上的問題, 也歡迎一起討論切磋 , 謝謝
1. get source code from https://ftp.openbsd.org/pub/OpenBSD/Ope ... 9p1.tar.gz
2. add user and group :
install -v -m700 -d /var/lib/sshd &&
chown -v root:sys /var/lib/sshd &&
groupadd -g 50 sshd &&
useradd -c 'sshd PrivSep' \
-d /var/lib/sshd \
-g sshd \
-s /bin/false \
-u 50 sshd
3. config setting
./configure --prefix=/usr \
--sysconfdir=/etc/sshd \
--with-privsep-path=/var/lib/sshd \
--with-default-path=/usr/bin \
--with-superuser-path=/usr/sbin:/usr/bin \
--with-pid-dir=/run
4. build code
make & make install
5. add Config Files
echo "PermitRootLogin no" >> /etc/sshd/sshd_config
echo "PasswordAuthentication no" >> /etc/sshd/sshd_config &&
echo "ChallengeResponseAuthentication no" >> /etc/sshd/sshd_config
6. modify boot Script
make install-sshd
PS : Openssh 經常會發現一些 bug , 也會做修復, 所以建議可以看一下 release note , 如果有用到 release note 提到的功能, 或許也就可以透過更新版本的方式來避開這些 bug .
release note 的網址參考如下 https://www.openssh.com/releasenotes.html
-
- 文章: 35
- 註冊時間: 週三 2月 20, 2019 11:22 am
Re: ssh 能支援 key 登入嗎 ?
你好,
若是手動操作, 在我司 NAS 上是可以使用 key 來做登入 SSH 的. 使用方式跟 uBuntu 的方式相同.
不同的是 sshd_config 的位置. 你可以在 /usr/etc/ssh 下找到相關設定檔案.
謝謝你的建議.
我們若要啟用此功能, 會思考更完善, 且能使用 UI 的方式來啟用, 不然對於不熟悉指令的使用者而言, 不容易使用此功能.
若是手動操作, 在我司 NAS 上是可以使用 key 來做登入 SSH 的. 使用方式跟 uBuntu 的方式相同.
不同的是 sshd_config 的位置. 你可以在 /usr/etc/ssh 下找到相關設定檔案.
謝謝你的建議.
我們若要啟用此功能, 會思考更完善, 且能使用 UI 的方式來啟用, 不然對於不熟悉指令的使用者而言, 不容易使用此功能.
Re: ssh 能支援 key 登入嗎 ?
這樣很好喔 , 如果有 UI 來設定, 那會更方便 。
或許可以簡單的把整個 sshd_config show 出來讓 user 自己編輯, 或是只列出一些固定的選項讓使用者修改就好了.
就像你說的, 這些需要全盤的考量, 這樣才能讓系統在安全的情況下更好用 , 謝謝。
或許可以簡單的把整個 sshd_config show 出來讓 user 自己編輯, 或是只列出一些固定的選項讓使用者修改就好了.
就像你說的, 這些需要全盤的考量, 這樣才能讓系統在安全的情況下更好用 , 謝謝。