用 FIDO key 来做 SSH key (blog.delphij.net)

【简介】

OpenSSH 8.2 中新增了 FIDO/U2F 支持。它支持两种密钥对类型: ecdsa-sk 和 ed25519-sk。需要注意的是并非所有的 FIDO Security Key都实现了 ed25519-sk 的硬件支持:例如,截至2022年,Titan Security Key就不支持 ed25519-sk。
使用 FIDO key 的 SSH key 在使用上和之前的 SSH key 类似,主要的区别在于在登录时系统会确认用户是否在机器旁边(通常是碰一下 FIDO key),这可以显著地改善安全性:与之前的 SSH key 不同的是,即使机器上的 U2F/FIDO SSH key 私钥文件被攻击者获得,在没有硬件 FIDO key 的情况下也无法使用这个私钥。对于对方同时能获得私钥文件和物理访问的情况,参见 xkcd/538,就不要跟扳手过不去了。

点击查看全文 >>

@技术头条 2022-06-19 22:41分享 / 0个评论
赞过的人: IT技术博客大学习
要不要再学学下面的文章?
作弊条:SSH 的 ProxyJump 跳板服务 (blog.delphij.net)
有些环境中,SSH 服务器可能无法从 Internet 直接访问(例如,SSH 服务器可能使用的是一个私有 IP地址,或是 Internet 服务提供商没有提供 IPv6 服务,而 SSH 服务器只提供 IPv6 服务)。
考虑到 SSH 已经进行了相互认证(连接时客户端会验证服务器的公钥是否与已知公钥,例如 ~/.ssh/known_hosts,或是通过 DNSsec 发布的 SSHFP RR 匹配;服务器端则会验证用户是否能证明自己拥有与授权公钥对应的私钥),因此比较常见的解决方法便是使用 VPN、在防火墙上穿孔,或是使用代理服务器。
由于 SSH 自身也提供了许多转发功能,因此如果中间的跳板服务器也提供 SSH 服务,便可以使用这些跳转服务器直接作为代理服务器来用。与前面那些传统方法相比,这样做的优点是避免了安装额外的软件,也不需要特别指定端口。
by @技术头条 2022-07-31 23:47 分享 查看详情
灵魂画手:漫画图解 SSH (zhuanlan.zhihu.com)
对称算法是指信息的发送方和接收方使用同一份秘钥去加解密数据。AES、DES 等都是常用的对称加密算法。

对称算法的优点是加解密的速度快,适合对于大数据量加密。缺点是因为只有一个秘钥,所以秘钥管理困难,只要暴露了,就很容易破解加密后的信息……
by @又拍云 2021-10-28 11:20 分享 查看详情
灵魂画手:漫画图解 SSH (zhuanlan.zhihu.com)
对称算法是指信息的发送方和接收方使用同一份秘钥去加解密数据。AES、DES 等都是常用的对称加密算法。

对称算法的优点是加解密的速度快,适合对于大数据量加密。缺点是因为只有一个秘钥,所以秘钥管理困难,只要暴露了,就很容易破解加密后的信息……
by @又拍云 2021-10-28 11:20 分享 查看详情
服务器标配 SSH 协议,你了解多少? (zhuanlan.zhihu.com)
SSH(Secure Shell)是一种加密的网络传输协议,它允许用户通过 Internet 控制和修改远程服务器。该协议的出现替代了未加密的登录协议(例如 telnet/rlogin)和不安全的文件传输方法(例如 FTP),并使用了加密技术来确保与远程服务器之间的所有通信都以加密的方式进行。它提供了一种机制,用于验证远程用户,将输入从客户端传输到服务器,以及将输出中继回客户端。
by @又拍云 2020-12-18 17:08 分享 查看详情
OrderedDict 是如何保证 Key 的插入顺序的 (old-panda.com)
从源码的层面分析 Python 的 OrderedDict 类是如何保持 Key 的插入顺序的
by @OldPanda 2020-03-03 14:19 分享 查看详情
CentOS7下解决SSH自动断开办法 (www.bizeway.net)
vim /etc/ssh/sshd_config
找到下面两行

ClientAliveInterval 0
ClientAliveCountMax 3
去掉注释,改成

ClientAliveInterval 30
ClientAliveCountMax 86400

这两行的意思分别是

1、客户端每隔多少秒向服务发送一个心跳数据

2、客户端多少秒没有相应,服务器自动断掉连接

重启sshd服务

service sshd restart
by @技术头条 2020-02-01 16:59 分享 查看详情
Linux 运维:SSH 服务的最佳实践 (sexywp.com)
最近又提起了兴趣去折腾 VPS,买好一台新的 VPS 服务器后,第一件事情就是登上去设置环境,当然,SSH 登录必不可少,这也是远程操作一台服务器的先决条件。不过 SSH 服务器,默认不是按照最优的方式去配置的。所以,我打算自己总结一下 SSH 服务的最佳实践。
by @技术头条 2019-05-01 20:03 分享 查看详情
Linux 中的 5 个 SSH 别名例子 (linux.cn)
作为一个 Linux 用户,我们常用 ssh 命令 来登入远程机器。ssh 命令你用得越多,你在键入一些重要的命令上花的时间也越多。我们可以用 定义在你的 .bashrc 文件里的别名 或函数来大幅度缩减花在命令行界面(CLI)的时间。但这不是最佳解决之道。最佳办法是在 ssh 配置文件中使用 SSH 别名 。
这里是我们能把 ssh 命令用得更好的几个例子。
by @技术头条 2018-07-05 13:25 分享 查看详情
如何使用 rsync 通过 SSH 恢复部分传输的文件 (linux.cn)
由于诸如电源故障、网络故障或用户干预等各种原因,使用 scp 命令通过 SSH 复制的大型文件可能会中断、取消或损坏。有一天,我将 Ubuntu 16.04 ISO 文件复制到我的远程系统。不幸的是断电了,网络连接立即断了。结果么?复制过程终止!这只是一个简单的例子。Ubuntu ISO 并不是那么大,一旦电源恢复,我就可以重新启动复制过程。但在生产环境中,当你在传输大型文件时,你可能并不希望这样做。

而且,你不能继续使用 scp 命令恢复被中止的进度。因为,如果你这样做,它只会覆盖现有的文件。这时你会怎么做?别担心!这是 rsync 派上用场的地方!rsync 可以帮助你恢复中断的复制或下载过程。对于那些好奇的人,rsync 是一个快速、多功能的文件复制程序,可用于复制和传输远程和本地系统中的文件或文件夹。
by @技术头条 2018-07-04 23:57 分享 查看详情
Siduction 2018.1.0:提供SSH处理 (www.linuxprobe.com)
基于Debian的siduction Linux操作系统今天已经更新到了2018.1.0版本,它是新一年的第一个ISO映像,带来了不少新功能和改进。
by @Linux就该这么学 2018-01-15 16:58 分享 查看详情