[eside-ghost] Intento de ataque a mi SSH
Dani Martinez
dmartinez en factor-sistemas.com
Jue Jun 16 12:31:11 CEST 2005
Luego entonces, mas o menos estoy en lo cierto (que peñazo de tema, pero ya
puestos) en que laseguridad "total" se basa en tener una clave que nunca
circula atraves de la red en ambos lados (o el conjunto de publica/privada).
Yo para mis sshs no uso nada de eso...sin mas tal y como se instala, tan
solo desactivo el acceso como root, y permito la conexion desde unos
determinados rangos de direcciones.
Me parece que al final tendre que documentarme algo mas sobre el tema, que
me ha picado el gusanillo...
----- Original Message -----
From: "Pablo Garaizar Sagarminaga" <garaizar en eside.deusto.es>
To: "Lista de eside-ghost" <eside-ghost en deusto.es>
Sent: Thursday, June 16, 2005 11:59 AM
Subject: Re: [eside-ghost] Intento de ataque a mi SSH
Aupa Dani!
El Thu, 16 Jun 2005 11:41:12 +0200
"Dani Martinez" <dmartinez en factor-sistemas.com> comentaba:
> >De hecho creo que sería al revés, porque es el servidor quien tiene
> >que tener tu clave pública.
> Yo pienso que consiste en llevarte la clave privada (o algo similar)
> de manera que puedas encriptar desde un principio...vamos, cuando
> negocia el cliente ssh con el servidor, se intercambian publicamente
> (por lo menos la primera vez) alguna clave con la que crifraran el
> resto de la comunicacion. Pero el envio de esa clave ha de ser
> publico, luego si alguien escucha toda la conversacion con sniffer,
> podria reconstruirla. Pero si ambos, server y cliente conocen una
> clave en comun que no se envia nunca....
Las claves SSH en principio se generan para un usuario y/o un host. Lo
normal, creo, es generar en la máquina cliente de la sesión SSH un par
de claves y guardarte la privada, copiando la pública en el servidor.
Cuando se hace la comunicación por claves, el servidor tiene tu pública
verdadera, porque la has copiado de forma segura previamente (a mano,
normalmente) y como solamente tú tienes la privada, la comunicación es
segura.
Si generas un par de claves nuevas en un cliente nuevo, deberás copiar
la pública otra vez al servidor, por un canal seguro.
Otra posibilidad es llevarte siempre tu privada y usar esa en todos los
hosts clientes que vas usando, pero a mí eso me da bastante mal rollo,
porque no puedes separar más adelante qué hosts pueden loguearse en qué
servidores.
--
Agur
Pablo Garaizar Sagarminaga
garaizar en eside.deusto.es
----------------------------------------------------------------------------
----
_______________________________________________
eside-ghost mailing list
eside-ghost en deusto.es
https://listas.deusto.es/mailman/listinfo/eside-ghost
Más información sobre la lista de distribución eside-ghost