Изпечатай

[DarkLordTed]

Извинявам се за тези въпроси, но в крайна сметка мисля, че ще е полезно и на други хора ако се систематизират и обяснят малко някои неща свързани с OpenSSH.
Четох навсякъде, но никъде не го обясняват като хората.

Следната настройка Ciphers - за какво е?
 Касае тунела на самият SSH или касае само определен метод за authentication?
 
По-сериозният въпрос каква е разликата между ChallengeResponseAuthentication и PasswordAuthentication? От това което намерих из мрежата PasswordAuthentication - праща паролата в чист вид през SSH криптираният "тунел" обаче на друго място твърдяха, че не е така. Каква е разликата с ChallengeResponseAuthentication. На едни места казват, че като го включиш и вече няма директно предаване на парола, а s/key на други место казват, че има повече възможности, но по подразбиране няма разлика с PasswordAuthentication? Задължителен ли е UsePAM ако се ползва едно от двете или не и за какво всъщност служи UsePAM като настройка?

Благодаря предварително на всички отзовали се за помоща!

[gat3way]

Ciphers в контекста на ssh описва симетричната криптография ползвана при тунела и няма особено голяма връзка с автентикацията.

Challenge-reponse автентикацията като идея е проста и цели избягването на пращане на парола в чист вид. Двете страни имат споделена тайна (ключ или парола, която се свежда някак до ключ). Има известни отенъци, но идеята е двете страни да си разменят стойности, криптирани или хеширани с този споделен ключ по начин по който и двете страни да удостоверят една на друга, че "знаят" за споделения ключ. По този начин самият ключ или парола не се предават. Но пък такава схема е податлива на offline атаки. В контекста на ssh това няма голямо значение, защото и password и chap автентикацията минават по вече криптираната връзка.

PAM е дълга тема за разговор, която не касае толкова ssh.

[DarkLordTed]

До тук добре, но какъв точно е механизма при Challenge-reponse - от къде може да се разбере? На едно място твърдят, че се подава произволна стойност от сървъра и паролата се хешира толкова на брой пъти от клиента преди да се предаде (това обаче никак не звучи надеждно). На друго място казват, че стойността се "смесва" по някакъв алгоритмичен начин с паролата и после се се хешира което звучи добре. Има и места на които се твърди, че Challenge-reponse инструкцията в sshd_config е само ключова дума. Ето това ме притеснява най-много
http://fixunix.com/ssh/73410-how-does-challengeresponseauthentication-actually-works.html
и по-специално това:
It doesn't provide "additional security," per se. The term
"ChallengeResponseAuthentication" is just an OpenSSH configuration
keyword;

[gat3way]

Няма точен механизъм, това е малко абстрактно понятие и може да се реализира по много различни начини. Може да се реализира и със симетричен шифър, може да се реализира и с криптографски хеш алгоритъм. Например със симетричен шифър едната страна може да си генерира случаен низ, да го криптира със споделения ключ и да го прати, другата страна да го декриптира, да му добави IP адреса си и да го прати обратно, криптирано със същият споделен ключ - получаваш примерна challenge-response схема където освен споделеният ключ който не минава в чист вид по мрежата, имаш и донякъде host-based автентикация (така replay атака няма да успее, дори на атакуващият да бъде подаден "известен" challenge низ, освен ако не може да си spoof-не адреса по някакъв начин разбира се).

В контекста на ssh, не знаех, че ChallengeResponseAuthentication сам по себе си просто дава възможност на протоколи като s/key да работят, никога не съм ползвал каквато и да е challenge-response автентикация с ssh така или иначе. 

[DarkLordTed]

Да попитам още нещо - да разбирам ли, че ако ползвам ChallengeResponseAuthentication това по някакъв начин променя начина на съхранение на паролите на сървъра?