Second Opinion
Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale. Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit. www.neurohope.ro |
Cum Fac Un SSH key Foarte Strong ?
Last Updated: Jan 30 2024 01:19, Started by
jumperishere
, Jan 29 2024 18:31
·
4
#1
Posted 29 January 2024 - 18:31
Zilele trecute uitandu-ma pe youtube la un tutorial, am vazut cum creatorul clipului obtinuse din key-ul creat (cel public), exact aceleasi caracterele de inceput pe care keyul meu le are (al meu fiind creat cu rsa 4096).
Chestia asta mi-a dat de gandit putin. Am cautat pe google modalitati de a crea un key puternic si nu am gasit. Ed25519 nu m-a convins (ssh-keygen -t ed25519) Poate ma puteti ajuta. (1) Singurul articol ce a meritat efortul cautarilor este aici https://wiki.archlin...le/SSH_keys#RSA Spune ca rsa poate fi creat cu un key size de 16384 bits (2)Ma intreb daca acel nr reprezinta numarul de caractere pe care il creaza acel key. Daca nu, atunci ce reprezinta ? (3) daca folosesc un astfel de key, timpul de conectare va fi mult ingreunat, pe server, datorita marimii key-ului ? Scopul utilizarii keyului e pt un web server Edited by jumperishere, 29 January 2024 - 18:37. |
#2
Posted 29 January 2024 - 19:19
primele caractere din cheia publica sunt la fel, pt ca contine informatie statica (algoritmul si niste caractere). Asa descrie si rfc-ul: https://www.rfc-editor.org/rfc/rfc4253
de exemplu, pt ssh-rsa cheia publica mereu incepe cu : Citat The "ssh-rsa" key format has the following specific encoding: string "ssh-rsa" mpint e mpint n care codat cu base64 rezulta "AAAAB3NzaC1yc2E". Asa ca orice cheie publica cu ssh-rsa va incepe cu acest string. |
#3
Posted 29 January 2024 - 19:42
Cred ca nu prea intelegi ce si cum...
Aceste chei sunt generate pereche, adica o cheie publica si una privata. Fiecare cheie are un anumit nr de biti si e generata cu un anumitt algoritm. Ca sa ai acces, cele doua chei trebuie sa fie pereche, iar momentan chei de 4096 biti sunt imposibil de spart. Pe windows folosesti Pytty, pt Unix/Mac ai de ex ssh-keygen -b 2048 -t rsa in loc de 2048 pui cati biti vrei tu (ex 4096) si in loc de rsa poti folosi urmatorii algo: Quote ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 rsa-sha2-256 rsa-sha2-512 ssh-ed25519 ssh-rsa Pt server e de dorit altceva: 1. Sa accepti coneciunea la ssh de pe un singur IP, iar acel ip sa fie VPN. 2. Sa pui o parola mare si complexa, sa ai activat autoblock. Cam aia este. |
#4
Posted 29 January 2024 - 19:45
ssh-key rsa 2048 sau ed25519 256 e suficient pentru aproape toate cazurile, nu e cazul sa fii paranoic. nu-ti sparge nimeni un amarat de server web unde tii tu colectia de manele.
daca nu, foloseste certificate-based authentication. Edited by laffin, 29 January 2024 - 19:46. |
#5
Posted 29 January 2024 - 20:29
da, partea cu key pair o stiam ...mersi mult de ajutor. apropos de acele ecdsa-sha2-nistp256, m-ai luminat putin. citisem de ele si in cartea CIS. insa credeam ca se pot folosi doar daca atat serverul cat si clientul folosesc FIPS pt intregul sistem.
pt protectie ssh, in loc de vpn e ok si firewall extern, oferit de hetzner (hosting provider-ul) ? banuiesc ca e aceeasi chestie..acelasi rezultat, ca si cu vpn-ul am pus accesul la ssh sa se faca numai pt ipul meu (din acel firewall de hardware) restul de incoming e respins (pana pun la punct serverul) Edited by jumperishere, 29 January 2024 - 20:35. |
#6
Posted 29 January 2024 - 21:10
Simplu : il pastrezi bine sub cheie, nu-l pastrezi online intr-un cont ce poate fi spart.
Poti sa-l faci de 20480000 daca ti se ia fisierul tot degeaba e complicat |
#7
Posted 29 January 2024 - 21:30
Nu cred ca se chinuie nimeni sa intre pe usa din spate cand tu pui siteul la fereastra mare din fata. E mai simplu sa sparga geamul ca sa intre in casa in functie de cat de bine iti scrii aplicatia web.
Toate pentesturile care mi-au picat in mana pana acum nu s-au intors cu "ai parola slaba, uite-o", s-au intors doar cu "baaa, parola e aceeasi ca userul". |
#8
Posted 30 January 2024 - 01:19
My 2 cent on this:
- Generezi key "Ed25519" pentru ca e mai scurta (in utilizarea mea ma ajuta sa export pub key mult mai usor catre servere, fiind doar o linie) dar criptografic foarte sigura. - In moment in care generezi hey setezi un passphrase foarte complex(eu am unu de 12 caractere, meh as zice) - Pe server dezactivezi login ssh cu parola si root loging - Poti seta si fail2ban daca vrei sa ai ce citi dimineata - Tii private key cat de secure poti |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users