|
www.elektronik.si Forum o elektrotehniki in računalništvu
|
Poglej prejšnjo temo :: Poglej naslednjo temo |
Avtor |
Sporočilo |
mosqito Član
Pridružen-a: Čet 07 Apr 2016 23:22 Prispevkov: 3246 Aktiv.: 33.10
|
Objavljeno: Pet Mar 25, 2022 12:39 pm Naslov sporočila: Uporaba CA certifikata za ssh |
|
|
Ali lahko uporabim osebno digitalno potrdilo (npr. Sigen-CA) za ssh dostop do strežnikov? Ali se uporaba kaj zaračunava? _________________ Always going the extra mile. |
|
Nazaj na vrh |
|
|
frenki Moderator
Pridružen-a: Ned 23 Feb 2003 21:26 Prispevkov: 6555 Aktiv.: 29.38 Kraj: Ljubljana (JN76GB)
|
Objavljeno: Pet Mar 25, 2022 1:20 pm Naslov sporočila: |
|
|
Ne vidim razloga zakaj ne ... nisem pa še uporabil te opcije. Uporaba Sigen-CA pa je - vsaj kolikor je meni znano brezplačna.
En recept glede konverzije ključev je tukaj. Ali pa z uporabo OpenSSH. |
|
Nazaj na vrh |
|
|
mosqito Član
Pridružen-a: Čet 07 Apr 2016 23:22 Prispevkov: 3246 Aktiv.: 33.10
|
Objavljeno: Pet Mar 25, 2022 1:59 pm Naslov sporočila: |
|
|
Naj omenim, da šele nabiram prakso.
Tale recept bo kar taprav. Hvala. Bo varneje in udobneje (vpis gesla ni več nujen). Dodatno sem še z ufw omejil dostop le iz lokalne mreže.
Koda: |
ufw allow from 192.168.0.0/23 to any port 22
|
Iz zunanjega sveta imam dostop preko vpn, tako da je tudi sicer vse, kar ni nujno za delovanje navzven (https, mail) omejeno na lokalni dostop. Dodatno sem že na glavnem firewallu omejil ves distop do zasebnega dela lokalne mreže in iz raznih web strežnikov, dockerjev in ostalega,bkar je vidno od zunaj ni nobenega distopa do npr. backupov, uporabnikov v lokalni mreži itd... Upam, da je to pravilna praksa za večjo varnost.
Ima pa sshd ene nove direktive v configu(match):
https://www.openssh.com/txt/release-6.5 _________________ Always going the extra mile. |
|
Nazaj na vrh |
|
|
frenki Moderator
Pridružen-a: Ned 23 Feb 2003 21:26 Prispevkov: 6555 Aktiv.: 29.38 Kraj: Ljubljana (JN76GB)
|
Objavljeno: Pet Mar 25, 2022 4:47 pm Naslov sporočila: |
|
|
Pristop je po moje čisto OK. Sploh pa, če nisi preveč paranoičen bi moral kar mirno spat vsaj glede varnosti omrežja.
Sam imam postavljeno na podoben način, edino s tem, da je elektronik.si povsem ločen od ostalega lokalnega omrežja. Še eno ločeno omrežje sem pa spravil skupaj za potrebe enih testiranj, ki jih izvajamo skupaj z nekimi francozi. Tole pa bolj zaradi tega, ker od njih leti noter svašta. |
|
Nazaj na vrh |
|
|
|
|
Ne, ne moreš dodajati novih tem v tem forumu Ne, ne moreš odgovarjati na teme v tem forumu Ne, ne moreš urejati svojih prispevkov v tem forumu Ne, ne moreš brisati svojih prispevkov v tem forumu Ne ne moreš glasovati v anketi v tem forumu Ne, ne moreš pripeti datotek v tem forumu Ne, ne moreš povleči datotek v tem forumu
|
Uptime: 78 dni
Powered by phpBB © 2001, 2005 phpBB Group
|