คำถามติดแท็ก password

จะทำการล็อกอิน SSH อัตโนมัติด้วยรหัสผ่านได้อย่างไร? ฉันกำลังกำหนดค่าการทดสอบ VM ของฉันดังนั้นความปลอดภัยจึงไม่ได้รับการพิจารณา เลือก SSH เพื่อความปลอดภัยที่ยอมรับได้โดยมีการกำหนดค่าน้อยที่สุด อดีต) echo password | ssh id@server มันใช้งานไม่ได้ ฉันจำได้ว่าฉันทำสิ่งนี้ด้วยลูกเล่นบางคนชี้นำฉัน แต่ตอนนี้ฉันจำไม่ได้ว่าเคล็ดลับที่ฉันใช้ ...

419 ssh  password  automation 

บน Linux (Debian Squeeze) ฉันต้องการปิดใช้งานการเข้าสู่ระบบ SSH โดยใช้รหัสผ่านกับผู้ใช้บางคน (กลุ่มที่เลือกหรือผู้ใช้ทั้งหมดยกเว้นรูท) แต่ฉันไม่ต้องการปิดใช้งานการเข้าสู่ระบบโดยใช้ใบรับรองสำหรับพวกเขา แก้ไข:ขอบคุณมากสำหรับคำตอบอย่างละเอียด! ด้วยเหตุผลบางอย่างสิ่งนี้ไม่ทำงานบนเซิร์ฟเวอร์ของฉัน: Match User !root PasswordAuthentication no ... แต่สามารถถูกแทนที่ได้อย่างง่ายดายโดย PasswordAuthentication no Match User root PasswordAuthentication yes

165 linux  ssh  password  login 

การsudoเข้าถึงแบบไม่ใช้รหัสผ่านสามารถตั้งค่าบน RHEL (Fedora, CentOS, ฯลฯ ) หรือ Ubuntu ได้อย่างไร? (ถ้าเป็นแบบเดียวกันกับ distros ก็จะดีกว่า!) การตั้งค่า: อุปกรณ์ส่วนบุคคลและ / หรือห้องปฏิบัติการ / ฝึกอบรมโดยไม่ต้องกังวลกับการเข้าถึงที่ไม่ได้รับอนุญาต (เช่นอุปกรณ์นั้นอยู่ในเครือข่ายที่ไม่ใช่สาธารณะและ / / ผู้ใช้ทุกคนมีความน่าเชื่อถืออย่างเต็มที่และเนื้อหาของอุปกรณ์นั้นคือ "วานิลลาธรรมดา") .

156 linux  password  sudo 

ฉันเพิ่งลองเข้าสู่เซิร์ฟเวอร์Fedora (รุ่น 13 Goddard) โดยใช้ SSH (PuTTY, Windows) ด้วยเหตุผลบางอย่างEnterหลังจากพิมพ์ชื่อผู้ใช้ของฉันไม่ได้ผ่านและฉันพิมพ์รหัสผ่านของฉันและกด Enter อีกครั้ง ฉันเพิ่งตระหนักถึงความผิดพลาดของฉันเมื่อเซิร์ฟเวอร์ทักทายฉันด้วยความสุข รหัสผ่านของmyusername MYPASSWORD @ server.example.com: ฉันเลิกการเชื่อมต่อ ณ จุดนี้และเปลี่ยนรหัสผ่านของฉันบนเครื่องนั้น (ผ่านการเชื่อมต่อ SSH แยกต่างหาก) ... ตอนนี้คำถามของฉันคือ: การเข้าสู่ระบบที่ล้มเหลวนั้นถูกจัดเก็บเป็นข้อความธรรมดาในล็อกไฟล์หรือไม่? กล่าวอีกนัยหนึ่งฉันเพิ่งบังคับรหัสผ่าน (ตอนนี้ล้าสมัย) ต่อหน้าต่อตาผู้ดูแลระยะไกลในครั้งต่อไปที่เขาสแกนบันทึกของเขา? ปรับปรุง ขอบคุณสำหรับความคิดเห็นทั้งหมดเกี่ยวกับคำถามโดยนัย "จะทำอย่างไรเพื่อป้องกันปัญหานี้ในอนาคต" เพื่อการเชื่อมต่อที่รวดเร็วเพียงครั้งเดียวฉันจะใช้คุณสมบัติ PuTTY นี้ทันที: เพื่อแทนที่ตัวเลือก "ชื่อผู้ใช้สำหรับเข้าสู่ระบบอัตโนมัติ" ฉันยังจะเริ่มใช้คีย์ SSH บ่อยขึ้นตามที่อธิบายไว้ในเอกสารฉาบ

142 ssh  logging  password  windows  login 

นี่เป็นคำถามเกี่ยวกับไคลเอนต์ OpenSSH บน Linux, MacOSX และ FreeBSD โดยปกติฉันเข้าสู่ระบบโดยใช้คีย์ SSH ของฉัน ในบางครั้งฉันต้องการให้ไคลเอ็นต์ SSH ของฉันเพิกเฉยต่อคีย์ SSH ของฉันและใช้รหัสผ่านแทน ถ้าฉันเป็นชื่อโฮสต์ 'ไคลเอ็นต์ของฉันจะขอให้ฉันใส่ข้อความรหัสผ่านไปยังคีย์ SSH ของฉันซึ่งเป็นสิ่งที่น่ารำคาญ แต่ฉันต้องการให้ลูกค้าเพิกเฉยต่อคีย์ SSH ของฉันเพื่อที่เซิร์ฟเวอร์จะขอรหัสผ่านแทน ฉันลองทำสิ่งต่อไปนี้ แต่ฉันยังคงได้รับข้อความรหัสผ่านสำหรับคีย์ SSH ของฉัน หลังจากนี้ฉันจะขอรหัสผ่านของฉัน ssh -o PreferredAuthentications=password host.example.org ฉันต้องการทำสิ่งนี้ในฝั่งไคลเอ็นต์โดยไม่ต้องแก้ไขรีโมตโฮสต์

139 ssh  authentication  password 

เรามีรหัสผ่านที่หลากหลายซึ่งจำเป็นต้องรู้มากกว่าหนึ่งคนใน บริษัท ของเรา ตัวอย่างเช่นรหัสผ่านของผู้ดูแลระบบไปยังเราเตอร์อินเทอร์เน็ตของเรารหัสผ่านสำหรับโฮสต์เว็บของเราและรหัสผ่าน "ไม่ใช่ IT" สองสามอย่างเช่นรหัสที่ปลอดภัย ขณะนี้เราใช้ระบบเฉพาะกิจของ "รหัสผ่านมาตรฐาน" สำหรับระบบที่มีค่าต่ำและการแบ่งปันรหัสผ่านด้วยวาจาสำหรับระบบที่มีความสำคัญ / อาจเป็นอันตรายมากกว่า ฉันคิดว่าคนส่วนใหญ่จะยอมรับว่านี่ไม่ใช่ระบบที่ดี สิ่งที่เราต้องการคือโซลูชันซอฟต์แวร์สำหรับการจัดเก็บรหัสผ่าน "ที่ใช้ร่วมกัน" โดยมีการ จำกัด การเข้าถึงสำหรับแต่ละคนที่ต้องการใช้งานจริง เป็นการดีที่จะแจ้งหรือบังคับใช้การเปลี่ยนรหัสผ่านเป็นระยะ ควรระบุว่าใครสามารถเข้าถึงรหัสผ่านเฉพาะ ( เช่นใครจะรู้รหัสผ่านรูทสำหรับเซิร์ฟเวอร์ XYZ?) คุณสามารถแนะนำโซลูชันซอฟต์แวร์ใด ๆ สำหรับการจัดเก็บและแบ่งปันรหัสผ่านได้หรือไม่ มีอะไรพิเศษไหมที่ต้องระวัง? การปฏิบัติทั่วไปใน บริษัท ขนาดเล็กขนาดกลางคืออะไร

62 password 

เห็นได้ชัดว่าพวกเราที่นี่เป็นผู้ดูแลระบบพิมพ์กี่คนเรามีรหัสผ่านจำนวนมากที่กระจายอยู่ในระบบและบัญชีจำนวนมาก บางคนมีลำดับความสำคัญต่ำอื่น ๆ อาจก่อให้เกิดอันตรายร้ายแรงต่อ บริษัท หากค้นพบ (คุณไม่เพียงแค่รักพลังหรือไม่) รหัสผ่านที่ง่ายและจำได้ง่ายไม่เป็นที่ยอมรับ ตัวเลือกเดียวคือรหัสผ่านที่ซับซ้อนจำได้ยาก (และพิมพ์) ดังนั้นสิ่งที่คุณใช้ในการติดตามรหัสผ่านของคุณ? คุณใช้โปรแกรมในการเข้ารหัสให้กับคุณ (ต้องใช้รหัสผ่านอื่นในการเปิด) หรือคุณทำสิ่งที่ซับซ้อนน้อยกว่าเช่นกระดาษที่เก็บไว้ในคนของคุณหรือมันเป็นหนึ่งในตัวเลือกเหล่านั้น?

59 security  password 

ฉันชอบความคิดในการเข้าถึงเซิร์ฟเวอร์ผ่านกุญแจดังนั้นฉันไม่จำเป็นต้องพิมพ์รหัสผ่านทุกครั้งที่ฉันsshใส่กล่องฉันยังล็อคrootรหัสผ่านของผู้ใช้ (ไม่ใช่) ( passwd -l username) ดังนั้นจึงไม่สามารถเข้าสู่ระบบได้โดยไม่ต้องใช้รหัส แต่ตัวแบ่งทั้งหมดนี้ถ้าฉันต้องป้อนรหัสผ่านสำหรับsudoคำสั่ง ดังนั้นฉันอยากจะตั้งค่ารหัสผ่านsudoเพื่อทำสิ่งต่าง ๆ ให้สอดคล้องกับการเข้าสู่ระบบแบบไม่มีรหัสผ่าน อย่างไรก็ตามฉันยังคงมีความรู้สึกว่ามันอาจย้อนกลับมาที่ฉันในทางที่ไม่คาดคิดมันก็ดูเหมือนจะไม่ปลอดภัยอย่างใด มีคำเตือนใด ๆ ในการตั้งค่าเช่นนี้หรือไม่? คุณจะแนะนำ / ไม่แนะนำให้ทำเช่นนี้กับบัญชีผู้ใช้บนเซิร์ฟเวอร์หรือไม่? ชี้แจง ฉันกำลังพูดถึงการใช้งานsudoในเซสชันผู้ใช้แบบโต้ตอบที่นี่ไม่ใช่สำหรับบริการหรือสคริปต์การดูแลระบบ ฉันกำลังพูดถึงการใช้คลาวด์เซิร์ฟเวอร์ (ดังนั้นฉันจึงไม่สามารถเข้าถึงเครื่องที่มีอยู่จริงในเครื่องและสามารถล็อกอินจากระยะไกลเท่านั้น) ฉันรู้ว่าsudoมีการหมดเวลาระหว่างที่ฉันไม่ต้องป้อนรหัสผ่านอีกครั้ง แต่คอนเสิร์ตของฉันไม่ได้เกี่ยวกับการสูญเสียเวลาพิเศษในการพิมพ์รหัสผ่าน ความคิดของฉันแม้ว่าจะไม่ต้องจัดการกับรหัสผ่านเลยเพราะฉันคิดว่า: ถ้าฉันต้องจดจำได้ทั้งหมดมันสั้นเกินไปที่จะปลอดภัยหรือนำกลับมาใช้ใหม่ ถ้าฉันสร้างรหัสผ่านที่ยาวและไม่ซ้ำกันสำหรับบัญชีระยะไกลของฉันฉันจะต้องเก็บไว้ที่ใดที่หนึ่ง (โปรแกรมจัดการรหัสผ่านท้องถิ่นหรือบริการคลาวด์) sudoและเรียกมันเวลาที่ฉันต้องการที่จะใช้ทุก ฉันหวังว่าฉันจะสามารถหลีกเลี่ยงได้ ดังนั้นด้วยคำถามนี้ฉันต้องการเข้าใจความเสี่ยงข้อแม้และข้อตกลงการแลกเปลี่ยนที่เป็นไปได้ของการกำหนดค่าที่เป็นไปได้มากกว่าข้ออื่น ติดตาม 1 คำตอบทั้งหมดบอกว่ารหัสผ่านsudoไม่มีความปลอดภัยเนื่องจากจะช่วยให้เพิ่มสิทธิ์ "ง่าย" หากบัญชีผู้ใช้ส่วนบุคคลของฉันถูกบุกรุก ฉันเข้าใจ. แต่ในทางกลับกันถ้าฉันใช้รหัสผ่านเรามีความเสี่ยงแบบคลาสสิกทั้งหมดกับรหัสผ่าน (สั้นเกินไปหรือสตริงทั่วไปซ้ำในบริการต่าง ๆ ฯลฯ ) แต่ฉันเดาว่าถ้าฉันปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่าน/etc/ssh/sshd_configเพื่อให้คุณยังต้องมีกุญแจในการเข้าสู่ระบบฉันสามารถใช้รหัสผ่านsudoที่ง่ายกว่าเพื่อให้พิมพ์ได้ง่ายขึ้นใช่ไหม นั่นเป็นกลยุทธ์ที่ถูกต้องหรือไม่? ติดตาม 2 หากฉันมีรหัสเพื่อเข้าสู่ระบบrootผ่านทาง ssh หากใครบางคนสามารถเข้าถึงคอมพิวเตอร์ของฉันและขโมยกุญแจของฉันได้ (พวกเขายังคงได้รับการป้องกันด้วยรหัสผ่านของระบบปฏิบัติการ!) …

58 linux  security  password  sudo 

ใช่ฉันสามารถติดตั้ง VM หรือรีโมตลงในบางสิ่งและลองใช้รหัสผ่าน ... ฉันรู้ ... แต่มีเครื่องมือหรือสคริปต์ที่จะจำลองการเข้าสู่ระบบเพียงพอที่จะยืนยันหรือปฏิเสธว่ารหัสผ่านนั้นถูกต้องหรือไม่ สถานการณ์: รหัสผ่านของบัญชีบริการเซิร์ฟเวอร์ "ลืม" ... แต่เราคิดว่าเรารู้ว่ามันคืออะไร ฉันต้องการส่งผ่านข้อมูลรับรองไปยังบางสิ่งและให้ส่งกลับด้วย "รหัสผ่านที่ถูกต้อง" หรือ "รหัสผ่านไม่ถูกต้อง" ฉันยังคิดเกี่ยวกับสคริปต์การจับคู่ไดรฟ์ด้วยบัญชีผู้ใช้และรหัสผ่านที่ถูกส่งผ่านเพื่อดูว่าไดรฟ์นั้นประสบความสำเร็จหรือไม่ แต่หายไปในตรรกะของการทำงานอย่างถูกต้อง ... สิ่งที่ต้องการ: - สคริปต์ขอชื่อผู้ใช้ผ่าน msgbox - สคริปต์ขอรหัสผ่านผ่าน msgbox - สคริปต์พยายามแมปไดรฟ์กับการแบ่งปันทั่วไปที่ทุกคนมีสิทธิ์เข้าถึงไดรฟ์ - สคริปต์ unmaps หากประสบความสำเร็จ -script ส่งคืนป๊อปอัป msgbox ระบุว่า " รหัสผ่าน" ความช่วยเหลือใด ๆ ที่ได้รับการชื่นชม ... คุณคิดว่านี่จะเป็นเหตุการณ์ที่เกิดขึ้นได้ยากโดยไม่ต้องใช้เครื่องมือในการสนับสนุน แต่ ... ดี ....

46 windows  scripting  login  password 

ฉันจะไปปิดการใช้งานนโยบายความซับซ้อนของรหัสผ่านสำหรับโดเมนได้ที่ไหน ฉันเข้าสู่ตัวควบคุมโดเมน (Windows Server 2008) และพบตัวเลือกในนโยบายท้องถิ่นซึ่งแน่นอนว่าถูกล็อคจากการเปลี่ยนแปลงใด ๆ อย่างไรก็ตามฉันไม่พบนโยบายประเภทเดียวกันในตัวจัดการนโยบายกลุ่ม โหนดใดที่ฉันต้องขยายเพื่อค้นหามัน

46 windows-server-2008  active-directory  group-policy  password 

ฉันใช้ daemon ซอฟต์แวร์ที่ต้องการการดำเนินการบางอย่างเพื่อป้อนวลีรหัสผ่านเพื่อปลดล็อกคุณสมบัติบางอย่างที่มีลักษณะเช่นนี้: $ darkcoind masternode start <mypassphrase> ตอนนี้ฉันมีความกังวลด้านความปลอดภัยบนเซิร์ฟเวอร์เดเบียนที่ไม่มีหัวของฉัน เมื่อใดก็ตามที่ฉันค้นหาประวัติทุบตีของฉันด้วยCtrl+Rฉันสามารถดูรหัสผ่านที่แข็งแกร่งสุดนี้ ตอนนี้ฉันจินตนาการว่าเซิร์ฟเวอร์ของฉันถูกบุกรุกและผู้บุกรุกบางคนมีสิทธิ์เข้าถึงเชลล์และสามารถCtrl+Rค้นหาข้อความรหัสผ่านของฉันในประวัติศาสตร์ได้ มีวิธีการใส่รหัสผ่านโดยไม่ได้ที่จะแสดงในประวัติศาสตร์ทุบตีps, /procหรืออื่นใด? อัปเดต 1 : การส่งรหัสผ่านไปที่ daemon จะไม่มีข้อผิดพลาดเกิดขึ้น ไม่มีตัวเลือกนี้ อัปเดต 2 : อย่าบอกให้ฉันลบซอฟต์แวร์หรือคำแนะนำที่เป็นประโยชน์อื่น ๆ เช่นการแขวนนักพัฒนา ฉันรู้ว่านี่ไม่ใช่ตัวอย่างการปฏิบัติที่ดีที่สุด แต่ซอฟต์แวร์นี้ใช้bitcoinและลูกค้า bitcoin ทั้งหมดเป็นเซิร์ฟเวอร์ json rpc บางชนิดซึ่งรับฟังคำสั่งเหล่านี้และปัญหาความปลอดภัยที่รู้จักยังคงถูกกล่าวถึง ( a , b , c ) . อัปเดต 3 : daemon เริ่มต้นแล้วและทำงานด้วยคำสั่ง $ darkcoind -daemon การทำpsแสดงเฉพาะคำสั่งเริ่มต้น …

43 linux  security  command-line-interface  password 

ฉันกำลังพยายามตั้งค่าการเข้าสู่ระบบโดยไม่ใช้รหัสผ่านด้วย ssh บนเซิร์ฟเวอร์ Ubuntu แต่ฉันได้รับ: Agent admitted failure to sign using the key และแจ้งให้ใส่รหัสผ่าน ฉันสร้างคีย์ rsa ใหม่แล้ว ก่อนที่ระบบจะรีบูตเครื่องก็ใช้งานได้ดี ลิงก์ทั้งหมดนำฉันไปสู่ข้อผิดพลาดนี้แต่ไม่มีอะไรทำงาน ตัวแทน SSH ยังคงไม่ทำงาน จะแก้ไขได้อย่างไร? บางทีไฟล์อาจต้องการการอนุญาตพิเศษ

38 ubuntu  ssh  password  remote-access 

เราได้รับอีเมลเมื่อปีที่แล้วจากผู้ให้บริการโฮสติ้งของเราเกี่ยวกับหนึ่งในบัญชีของเรา - มันถูกบุกรุกและใช้เพื่อส่งมอบความช่วยเหลือที่ค่อนข้างใจดีของสแปม เห็นได้ชัดว่าผู้ใช้รีเซ็ตรหัสผ่านของเธอเป็นรูปแบบของชื่อของเธอ (นามสกุลคือสิ่งที่คุณอาจเดาได้ในครั้งแรก) เธอถูกแฮ็คภายในหนึ่งสัปดาห์บัญชีของเธอส่งอีเมลสแปมจำนวน 270,000 ฉบับและรวดเร็วมาก อุดตัน จนถึงตอนนี้ไม่มีอะไรผิดปกติโดยเฉพาะอย่างยิ่ง เกิดขึ้น. คุณเปลี่ยนรหัสผ่านเป็นสิ่งที่ปลอดภัยยิ่งขึ้นให้ความรู้แก่ผู้ใช้และดำเนินการต่อ แต่สิ่งที่ห่วงผมมากยิ่งขึ้นกว่าที่เป็นจริงของบัญชีของเราได้รับการโจมตี ผู้ให้บริการโฮสต์ของเราในความพยายามที่จะเป็นประโยชน์เสนอราคารหัสผ่านให้กับเราทางอีเมล์ ฉันประหลาดใจ เรากำลังจะต่อสัญญาของเราเร็ว ๆ นี้ - และนี่รู้สึกเหมือนเป็นผู้แจกไพ่ เป็นเรื่องธรรมดาเพียงใดที่ผู้ให้บริการโฮสติ้งจะสามารถค้นหารหัสผ่านจริงที่ใช้กับบัญชีได้ ทำมากที่สุดในผู้ให้บริการโฮสติ้งมีแผนกการละเมิดบัญชีที่มีการเข้าถึงมากกว่าพนักงานหน้าบรรทัด (และสามารถดูรหัสผ่านถ้าจำเป็น) หรือคนเหล่านี้ก็ไม่ได้ดังต่อไปนี้ปฏิบัติที่ดีที่สุดในการทำให้มันเป็นไปได้สำหรับการใด ๆของพนักงานของตนให้กับผู้ใช้เข้าถึง รหัสผ่าน? ฉันคิดว่ารหัสผ่านควรจะถูกแฮชและไม่สามารถเรียกคืนได้? นี่หมายความว่าพวกเขาเก็บรหัสผ่านของทุกคนในรูปแบบข้อความธรรมดาหรือไม่? มันเป็นเรื่องถูกกฎหมายหรือไม่ที่ผู้ให้บริการโฮสติ้งจะสามารถค้นพบรหัสผ่านของบัญชีในลักษณะนี้ได้? มันช่างน่าเหลือเชื่อเหลือเกินสำหรับฉัน ก่อนที่เราจะพิจารณาผู้ให้บริการที่เปลี่ยนแปลงฉันต้องการความมั่นใจว่านี่ไม่ใช่การปฏิบัติทั่วไปและผู้ให้บริการโฮสติ้งรายต่อไปของเราจะไม่ตั้งสิ่งต่าง ๆ ในลักษณะเดียวกัน รอคอยที่จะได้ยินมุมมองของคุณเกี่ยวกับเรื่องนี้

31 security  email  password  best-practices 

ฉันกำลังทำงานกับสคริปต์ Powershell ที่เพิ่มงานที่กำหนดเวลาไว้ในระบบในโดเมนของเรา เมื่อฉันเรียกใช้สคริปต์นี้มันจะพร้อมท์ให้ฉันใส่รหัสผ่าน บางครั้งฉันลืมรหัสผ่านและกระบวนการเริ่มต้นซึ่งล็อคบัญชีของฉัน มีวิธีการยืนยันข้อมูลรับรองของฉันเพื่อให้แน่ใจว่าสิ่งที่ฉันพิมพ์จะตรวจสอบกับโดเมนหรือไม่ ฉันต้องการค้นหาวิธีสอบถามตัวควบคุมโดเมน ฉันทำการค้นหาโดย Google แล้วและฉันควรจะสามารถสืบค้นและดักจับ WMI เพื่อหาข้อผิดพลาดได้ ฉันต้องการหลีกเลี่ยงการตรวจสอบรูปแบบนั้นถ้าเป็นไปได้ ความคิดใด ๆ ขอบคุณล่วงหน้า.

30 domain  powershell  password 

เมื่อได้รับเหตุการณ์ล่าสุดด้วยการเรียนรู้ 'แฮ็กเกอร์' และลองรหัสผ่านใหม่จากผู้ดูแลเว็บไซต์เราจะแนะนำสิ่งที่ดีที่สุดให้กับทุกคนเกี่ยวกับวิธีปฏิบัติที่ดีที่สุดเกี่ยวกับรหัสผ่านได้อย่างไร ใช้รหัสผ่านที่ไม่ซ้ำกันระหว่างเว็บไซต์ (เช่นไม่เคยใช้รหัสผ่านซ้ำ) คำที่พบในพจนานุกรมจะต้องหลีกเลี่ยง พิจารณาใช้คำหรือวลีจากภาษาที่ไม่ใช่ภาษาอังกฤษ ใช้วลีรหัสผ่านและใช้อักษรตัวแรกของแต่ละคำ l33 การระบุไม่ได้ช่วยอะไรมาก กรุณาแนะนำเพิ่มเติม!

30 security  password