PDA

Просмотр полной версии : пароли в putty


absurdo
01.12.2010, 20:34
Есть ли какая нибудь примочка к putty, чтобы можно было сохранять пароли в зашифрованном виде?
Например, ввожу мастер-пароль и могу подключаться к разным серверам с заранее сохраненными паролями.

ask0n
02.12.2010, 16:33
Есть - использование ключей для авторизации.
В комплекте с putty идёт pageant (Putty authentication agent).
Генерируем ключ, ставим на него пароль, на разных серверах прописываем в authorized_keys свой ключ, потом заходим по ключу.

absurdo
02.12.2010, 20:12
пароль на ключ вводить придется каждый раз?

Maza
02.12.2010, 21:51
нет, ключ придётся носить на флехе, если собираешься с любой точки коннектится. Ключ будет ввиде текстового файла.

3xmaster
03.12.2010, 01:56
ask0n написал(а):

Есть - использование ключей для авторизации.
В комплекте с putty идёт pageant (Putty authentication agent).
Генерируем ключ, ставим на него пароль, на разных серверах прописываем в authorized_keys свой ключ, потом заходим по ключу.


Расскажи, плз, подробней как что.

ask0n
03.12.2010, 02:59
3xmaster написал(а):

Расскажи, плз, подробней как что.


1. Запускаем puttygen.exe
2. Выбираем Key -> Generate key pair
3. Ждем пока сгенерится ключ
4. Копируем значение из окна Public key for pasting into OpenSSH authorized_keys file
5. На сервере создаем файл ~/.ssh/authorized_keys
6. Копируем в него значение из п. 4
7. Ставим права на ~/.ssh/authorized_keys 600 или 400
8. При желании задаем пароль на закрытый ключ, введя его два раза в полях Key passphrase и Confirm passphrase окна puttygen
9. Сохраняем приватный ключ (если не ввели пароль вылетет предупреждение, действительно ли сохранить без защиты паролем), сохранится с расширением .ppk
10. Сохраняем на всякий случай публичный ключ, чтоб в дальнейшем можно было добавлять его на другие сервера
11. Запускаем putty
12. Создаем новое соединение, вбиваем IP и при необходимости порт для SSH соединения, если на сервере юзаем не стандартный 22й
13. Заходим во вкладку Data меню Connection, прописываем в поле Auto-login username свой логин для сервера.
14. Заходим во вкладку SSH в меню конфигуратора слева, на вкладке Auth меню SSH ставим галочки: Attempt authetication using Pageant (пробовать ключи из менеджера ключей) и Attempt "keyboard-interactive" auth (SSH-2) - это на случай если ключ не подошел, при настроенной системе я обычно снимаю.
15. Там же прописываем путь в Private key file for authentication к ключу .ppk сгенеренному в п. 9
16. Запускаем pageant.exe, жмем add key, добавляем приватный ключ из п.9
17. Сохраняем конфигурацию соединения которую начали делать в п. 12
18. Запускаем созданное соединение и смотрим как прошло. Если ключ генерили с паролем и не запущен pageant попросит ввести пароль на ключ при подключении, напишет что-то по типу:
Authenticating with public key "test-key"
Passphrase for key "test-key"
вводим пароль на ключ, попадаем в систему.
19. Пробуем зайти с запущенным pageant.exe пароль на ключ спросит при запуске агента, соединения будут открываться без запроса.

P.S.
1. Если кто-то заполучит ваш закрытый ключ, не защищенный паролем он получит доступ ко всем вашим серверам, на которых был настроен вход по ключу.
2. Если не удается войти по ключам, проверяем права на ~/.ssh/authorized_keys, смотрим конфиг sshd_config на предмет изменений относительно строки, содержащей authorized_keys - бывает дефолтовые значения меняют на хранение всех ключей в одном месте и это правильно.
3. Читаем auth логи сервера на предмет ошибок.
4. Если потеряли закрытый ключ, первым делом удаляем ~/.ssh/authorized_keys на сервере, потом генерим новые пары ключей.
5. Юзайте portaputty




Для просмотра скрытого содержимого необходимо иметь 10 сообщений, у вас 0 сообщений.


он хранит все настройки соединений в своей папке, а не в реестре, там же все ключи, очень удобно при таскании всего этого хозяйства на свой флешке в truecrypt контейнере.
Peace!

absurdo
03.12.2010, 13:02
можно ли будет все это осуществить без прав roota?

ask0n
03.12.2010, 13:41
absurdo написал(а):

можно ли будет все это осуществить без прав roota?


Если конфигурация sshd сервера дефолтовая, то да.
Файл с открытым ключем располагается в домашней директории пользователя, который будет входить по ключу.

absurdo
03.12.2010, 14:53
Например в WinSCP можно зашифровать пароли мастер паролем. Но там файловый менеджер хороший, а доступ именно к консоли по SSH какой то кривой.

Ray23
04.12.2010, 00:38
ask0n, хороший мануал, у меня также сделана авторизация через сертификаты, очень удобно и хорошо защищает сервер от взлома. От себя лишь добавлю, что желательно еще заблокировать вход из под рута и стандартный 22 порт заменить на что-то другое, ну и не забыть открыть его в файрволе, а 22й порт оставить для portsentry.

Код:



IPTABLES="/sbin/iptables"
INET_IFACE="ppp0"
...
$IPTABLES -N tcp_packets
$IPTABLES -N allowed
...
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport xxxxx -j allowed # ssh
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
...
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP


PS. ask0n, за portaputty спасибо, для флэшки самое то!

absurdo
14.12.2010, 01:04
А я всетаки нашел искомое - PuTTY Connection Manager.
Умеет сохранять пароли к разным сессиям в зашифрованной базе.

Для просмотра скрытого содержимого необходимо иметь 3 сообщения, у вас 0 сообщений.

typus
08.01.2011, 14:10
Для просмотра скрытого содержимого необходимо иметь 1 сообщение, у вас 0 сообщений.


- модифицированная версия программы PuTTY версии 0.60,
сохраняет пароли..

help40
08.01.2011, 14:25
вот здесь обяснение с картинки ....

Скрытое содержимое доступно для зарегистрированных пользователей!


http://www.codelathe.com/blog/index.php/2009/02/20/ssh-without-password-using-putty/ (https://href.li/?http://www.codelathe.com/blog/index.php/2009/02/20/ssh-without-password-using-putty/)