Onderwerp: Beveiligen van ssh

Oorspronkelijk geplaatst door groenleer

Randy, die Swekeys werken die ook in linux/mac omgevingen?
Ik zie in het voorbeeld script dat er namelijk een ActiveX object embedded moet worden. (Gaat vol automatisch).

Dat is een goede Martijn. Ik zal hem vanmiddag bij @aim24 even in de Mac proppen en kijken of het werkt.
Maar voor de Linux en Mac heb je al SSH-keys. En dat zonder peagant .

Dat klopt,
Maar ik zag (gezien de beperkte kosten) hier een mooie addon in de beveiliging van een WebApp voor wat klanten. Ik zou een App namelijk willen beveiligen met een OTP.

Belangrijk is dan wel dat het zelfde systeem feilloos/naadloos op verschillende OSen werkt. En elke keer een code sms-en is wel mooi maar ook niet altijd praktisch. (zou je dat met SSH ook kunnen doen?)

Swekeys zitten op $20.- (13,50?) per stuk. Dus dat lijkt me zeer cheap. Voor dat geld zet je zelf geen PKI infrastructuur op. Je kunt nog een dollar per stuk korting krijgen via een referal.
Ik zit nu in de tsjoek naar 024 en bedenk me dat de Swekey nog in 053 ligt. De test op de mac houdt je nog tegoed.

Geen probleem!
Ik hoor het wel van je. Voor dat geld kan je inderdaad geen PKI opzetten.

Zo doe ik het :

http://the.earth.li/~sgtatham/putty/.../Chapter8.html

SSH via public key, root SSH login disabled.
1024-bit AES encryptie, veilig genoeg ...

Het gebruik van keys ben ik niet echt voorstander van, met als volgende reden dat je de keys niet altijd bij je hebt op usb sitck etc. Dat als je de key verliest door bvb computer crash, kantoor die afbrand, natuurramp etc met als gevolg dat je niet meer kunt inloggen.

Manier die ik gebruik is daarom misschien beetje omslachtig maar ik kan overal in loggen zonder problemen. Ik firewall de ssh op core firewall en niet op machine's zelf, hier laat ik enkel mijn fixed ip toe van kantoor. Als ik bvb op verplaatsing ben en ik moet inloggen op ssh dan maak ik eerst verbinding met de vpn op kantoor en kan van daar weer op de ssh inloggen.

Wat leuk zou zijn is bvb gebruik te kunnen maken van je eID (geen idee of ze dat in nl al hebben) om zo te kunnen inloggen met je pasport en je pin code.

en wat is dan je achtervang voor als een keer die verbinding niet wil? kun je anders meteen je servers niet meer in als de adsl/kabel/whatever een keer storing heeft

Oorspronkelijk geplaatst door t.bloo

en wat is dan je achtervang voor als een keer die verbinding niet wil? kun je anders meteen je servers niet meer in als de adsl/kabel/whatever een keer storing heeft

Dat kun je anders ook niet als de adsl niet werkt he en nee ik heb geen mobile internet. Dan ga ik maar ter plaatse naar het datacenter, het is voor de ene keer dan ook geen zo een ramp en het is toch niet zo ver (voor mij).

Punt is hier dat als adsl niet werkt het meestal de hele zone/regio is (centrale) en als ik dan naar andere zone moet om adsl te hebben kan ik net zo goed naar DC gaan. Binnenkort komt hier misschien wel verandering in omdat ik 2de plaats fixed ip zal hebben met vpn, dus kunnen we deze ook toevoegen in de firewall.

Oorspronkelijk geplaatst door The-BosS

Het gebruik van keys ben ik niet echt voorstander van, met als volgende reden dat je de keys niet altijd bij je hebt op usb sitck etc. Dat als je de key verliest door bvb computer crash, kantoor die afbrand, natuurramp etc met als gevolg dat je niet meer kunt inloggen.

Daarom hebben we OpenPGP smartcards, ze zijn zo groot als een pin-pas en relatief veilig. (as safe as the weakest link... and that's you)

Oorspronkelijk geplaatst door The-BosS

Manier die ik gebruik is daarom misschien beetje omslachtig maar ik kan overal in loggen zonder problemen. Ik firewall de ssh op core firewall en niet op machine's zelf, hier laat ik enkel mijn fixed ip toe van kantoor. Als ik bvb op verplaatsing ben en ik moet inloggen op ssh dan maak ik eerst verbinding met de vpn op kantoor en kan van daar weer op de ssh inloggen.

En je key cached gewoon op je laptop ?