PKI для SSH
Есть сабж, или тут можно только доверять самоподписанному сертификату?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
Серьезно чтоли? Такой же, как и в SSL – защита от MitM.
комментариев: 11558 документов: 1036 редакций: 4118
А как еще?
КОСТЫЛЬНОЕ PKI?
комментариев: 1060 документов: 16 редакций: 32
Нужно просить админа подтвердить отпечаток по надёжному каналу связи. Всё как с самоподписанными SSL-сертификатами.
комментариев: 11558 документов: 1036 редакций: 4118
Unix-way. Зачем PKI в SSH, если есть PKI в GPG?
У нас стоит куча серваков, которые я все не знаю, а тем более их админов. И даже если узнаю, такой херней заниматься вряд ли кто-то будет. Как ты себе это представляешь?
Какие аналоги PKI могут быть вообще в корпоративной сети?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1060 документов: 16 редакций: 32
Есть у меня смутное подозрение, что проблема у них не техническая, а организационная. Никто ж не хочет "такой херней" заниматься :)
комментариев: 1060 документов: 16 редакций: 32
Хотя публичный список серверов с именами владельцев – это однозначно необходимая вещь.
Ты перед тем, как зайти на каждый сайт, будешь контактировать админа по защищенному от подмены каналу? [s]Вообще сам понял, что написал?[/s]
Хотелось бы автоматизации, как в SSL. И нормальной понимаемости для нубов.
Еще раз – даже если я буду знать владельца сервака, это не значит, что он побежит мне в приемлемое время сообщать хэш ключа.
Проблемы те же, что и в случае SSL, но они хотя бы решаемые в условии сети организации, где каждый препод поднимает по серваку.
комментариев: 1060 документов: 16 редакций: 32
Для SSH в любом случае с админом контактировать – аккаунт благодаря святому духу не появится.
Мысль об организационных проблемах находит подтверждение :)
Ещё раз: без явного на то желания админа сервера надёжно ключ подтвердить ключ вы не сможете. В корпоративных сетях решайте этот вопрос чисто организационными методами. Технических средств в самом SSH для этого явно не предусмотрено, может быть, есть какие-то надстройки. Но опять же, они работать не будут, если ими не будут владельцы серверов пользоваться.
LDAP
У меня есть мысль, что мы о разных вещах говорим.
Об этом и был вопрос с самого начала. 15 постов ниочем.
А это уже вопрос организационный. Собсно, я не собираюсь лбом стену ломать, меня просто интересует, есть ли решение.