¿Cómo funciona Pageant cuando tiene varias claves cargadas?

2

Estoy tratando de organizarme con mi trabajo con los servidores y, por lo tanto, con las teclas ssh, pero parece imposible. Así que estoy pensando en pasar de Pageant a Serveauditor, que también es usado por el CERN. Pero antes de eso me gustaría entender qué está mal con el sistema.

Así que básicamente gestiono 30-40 host / guest de Linux y como no quiero que se contaminen las piraterías entre ellos, estoy usando una clave / host o invitado diferente con una frase de contraseña diferente, por supuesto.

Así que quería usar Pageant para trabajar con todo eso (me estoy conectando con Windows a esos hosts / invitados) pero al parecer no puedo. Entonces, ¿cómo funciona Pageant? ¿Está ofreciendo todas las claves de una vez al servidor o de forma iterativa y el servidor tiene que probar cada una de ellas? ¿Es este un tipo de protección básica del servidor SSH? Porque si la buena clave no está en la 5 primera, aparentemente tengo el mensaje de error "Demasiados fallos de autenticación" . No creo que sea el fail2ban Protección ya que lo he parado para probarlo.

Aparentemente también, si estoy usando más de 5 claves DSA (que, al leerlo, eran más fuertes que las claves RSA, pero parece que el equipo de desarrollo de PuTTY no está de acuerdo) Pageant ya no responde a PuTTY, y es lo mismo que si estuviera usando más de 1 clave DSA con varias claves RSA.

Entonces, ¿debo concluir que el concurso no puede administrar más de 5 o 6 hosts y si necesito hacer más, debo asignar cada una de las claves a los hosts específicos en la lista de PuTTY o con otra aplicación como Serveauditor?

Atentamente

linux ssh putty public-key private-key vigilian
fuente
PuTTY está bien con DSA, pero OpenSSH (que es el servidor en Linux) 7.0 y superior de forma predeterminada deshabilita DSA (llamado DSS en SSH). openssh.com/txt/release-7.0 PS: DSA no es más fuerte que RSA del mismo tamaño si ambos se implementan correctamente, y es un poco más fácil estropear la implementación de DSA, lo que puede ser parte de la razón por la que las personas de OpenSSH decidieron como lo hicieron.
dave_thompson_085

Respuestas:

2

PuTTY intenta las claves recuperadas de Pageant una por una, hasta que tenga éxito.

Si desea que PuTTY pruebe una sola clave específica, selecciónela en el Archivo de clave privada para autenticación .

Si la misma clave ya está cargada en Pageant, PuTTY la recuperará de Pageant (por lo que no le pedirá una frase de contraseña).

Citando Documentación de puTTY :

Puede usar el Agente de autenticación Pageant para que no necesite configurar una clave explícitamente aquí; ver Capítulo 9 . Si se especifica un archivo aquí con Pageant en ejecución, PuTTY primero intentará pedir a Pageant que se autentique con esa clave, e ignorará cualquier otra clave que pueda tener Pageant. Si eso falla, PuTTY le pedirá una frase de contraseña normalmente.

También tenga en cuenta que generalmente no hay nada de malo en usar la misma clave para varios servidores.
Ver ¿Cuál es la mejor práctica: separar ssh-key por host y usuario VS una ssh-key para todos los hosts?

Martin Prikryl
fuente
Bien, ahora entiendo mejor el sistema, entonces definitivamente hay un límite de pruebas para una clave
vigilian
1
Claro tambien Demasiados fallos de autenticación para * nombre de usuario * + Tenga en cuenta que generalmente no hay nada de malo en usar la misma clave para varios servidores. Ver ¿Cuál es la mejor práctica: separar ssh-key por host y usuario VS una ssh-key para todos los hosts? (añadido a mi respuesta).
Martin Prikryl