ugrás a tartalomhoz

SSH2 Csatlakozás PHP-val biztonságosan

bonbence · 2013. Jan. 9. (Sze), 18.39
Sziasztok!

SSh2re szeretnék phpval biztonságosan csatlakozni mutatom is lentebb mire gondoltam.

Eddig így csatiztam:
$connect=ssh2_connect("ip",22);
ssh2_auth_password($connect,"username","password");

Ugye itt nincs titkosítva se a user se a pass szóval akinek már a php vagy csak egy kis rés van és megvan az már turkálhat.Valami hasonlót szeretnék:

$user="md5kód";
$pass="md5kór";
$connect=ssh2_connect("ip",22);
ssh2_auth_password($connect,md5($user),md5($pass) );

De ez az md5 szerű nem működik talán az ssh nem tudja visszakódolni az md5őt?
Kérlek segítsetek.
Köszönőm
 
1

Jól sejted nem tudja.

dragi · 2013. Jan. 9. (Sze), 18.56
Jól sejted nem tudja. Hitelesíts kulcsal.
2

Kulcs?

bonbence · 2013. Jan. 9. (Sze), 18.59
Hm..
Ez a kulcs mire jó esetleg tudnál róla többet írni?
Köszi
3

itt is írnak róla

dragi · 2013. Jan. 9. (Sze), 19.03
4

Biztonsagosan

janoszen · 2013. Jan. 10. (Cs), 11.14
A biztonsag relativ fogalom. En alapvetoen nem erzem a letjogosultsagat annak, hogy PHP-bol webszerver alol futtatva _barhova_ csatlakozz SSH-val. Egesz egyszeruen azert, mert onnantol kezdve eleg egyetlen egy (!) biztonsagi hiba a PHP-ban, hogy lokalis usert lehessen szerezni a cel gepen.

A helyes megoldas az ilyen feladatok megoldasara az ugynevezett privilege separation elv alkalmazasa, azaz van a hatterben egy programod (API), ami jol definialt feladatokat hajlando csak vegrehajtani, nem pedig barmit (ssh modra). Ezen az API-n keresztul cimzed meg a celgepet.

Ami a kerdest illeti, nem, az SSH nem tudja "visszakodolni" az md5-ot, hiszen miert is tudna, ha ugy lett kitalalva, hogy ne lehessen visszakodolni? (Egyiranyu titkositas.) Alapvetoen a plaintext jelszot kell az SSH-nak odaadnod vagy mint javasoltak, kulcsos autentikaciot kell alkalmazni, de biztonsag szempontjabol semmit nem javit a dolgon, mert a kulcsot is ki lehet nyerni.
5

Erről eszembe jutott egy régi

eddig bírtam szó nélkül · 2013. Jan. 10. (Cs), 16.28
Erről eszembe jutott egy régi eset... Valami céginformációkat kapott a munkahelyem egy külső szolgáltatótól. Sokáig CD-n jött, aztán rájöttek, hogy ott az internet. Megkaptuk online... ftp-n. És hiába pofáztunk a kedves szállítónak, hogy legalább sftp-t használjunk, hiába.
Nem tudom, a kérdezőnek mire kell az ssh, de ezek fényében akár az is előfordulhat, hogy esélye sincs változtatni rajta. :-(
6

SSH

janoszen · 2013. Jan. 10. (Cs), 16.29
Aki SSH-t implemental, az altalaban azert esznel van. En mindenkeppen javaslom a privilege separationt.
7

Na ebben nem lennék ennyire

eddig bírtam szó nélkül · 2013. Jan. 10. (Cs), 16.39
Na ebben nem lennék ennyire biztos. Felhánysz egy ubuntu szervert, abban default ott az sshd, Pistike (=szolgáltató) meg hallotta, hogy az biztonságos, hát beengedi. Sajnos van ilyen és ugye a fenti sztori még a bankos időkből származik.

Egyébként lehet, hogy félreértettél: nem az API ellen szólottam volt... :-)
8

Kerdes

janoszen · 2013. Jan. 10. (Cs), 17.11
Akkor kerdes, bonbence: mi az a problem amit eredendoen meg akarsz oldani? (Az SSH-tol elvonatkoztatva.)
9

De egyáltalán hogy jutott

tgr · 2013. Jan. 11. (P), 23.34
De egyáltalán hogy jutott eszedbe, hogy ha a valódi felhasználónév és jelszó helyett két egészen más sztringet adsz meg (amik történetesen a valódiak md5 hashei), akkor azt meg fogja érteni az SSH?