GitLab и ssh (Стоит ли использовать ssh на gitliab?)
Модератор: Модераторы разделов
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
GitLab и ssh
Импортировал я тут свои репы c github на gitlab.
А gitlab мне и говорит: You won't be able to pull or push project code via SSH until you add an SSH key to your profile.
Дескать, Вы не сможете, пока не добавите... И дальше там напомнить позже/не напоминать.
И вот я задумался: А надо ли это именно по ssh?
В одной стороны, вроде неплохо, безопасность и всё такое...
С другой стороны, вводить пароль или вводить пассфразу - хрен редьки не слаще.
С третьей стороны, если задействовать ssh, то с другой машины, ну скажем, с рабочей (где нет этого ключа), уже будет ничего не сделать.
С четвертой стороны, у меня с этими ключами всегда одна и та же беда: я постоянно теряю к ним доступ.
Забываю пассфразы. Создаёшь какую-нибудь длиннющую комбинацию и думаешь, что она никогда не забудется, ибо всё логично и однозначно, но проходит год-два и... даже намёка не остаётся.
Сейчас вот лежит в .ssh какой-то id_rsa.pub. Лежит с января 2016 года. А я даже не помню, зачем его создавал.
Какие там ключи (или он там всегда один?) - тем более не помню. А уж про пассфразу - и говорить нечего.
По этой же причине я не использую шифрование данных на диске - боже упаси.
С обычными паролями у меня, собственно, такая же история, но их хоть восстанавливать можно.
А вот с ключами ssh в этом смысле сложнее. Только создавать новую пару, других вариантов нет.
В общем, по идее, всякие там пароли должны быть такими, что их легко вспомнить, но сложно подобрать, а на деле выходит наоборот.
А как у Вас обстоит дело с паролями/пассфразами и прочими подобными вещами?
Случалось ли терять? И как предотвращаете потери?
А gitlab мне и говорит: You won't be able to pull or push project code via SSH until you add an SSH key to your profile.
Дескать, Вы не сможете, пока не добавите... И дальше там напомнить позже/не напоминать.
И вот я задумался: А надо ли это именно по ssh?
В одной стороны, вроде неплохо, безопасность и всё такое...
С другой стороны, вводить пароль или вводить пассфразу - хрен редьки не слаще.
С третьей стороны, если задействовать ssh, то с другой машины, ну скажем, с рабочей (где нет этого ключа), уже будет ничего не сделать.
С четвертой стороны, у меня с этими ключами всегда одна и та же беда: я постоянно теряю к ним доступ.
Забываю пассфразы. Создаёшь какую-нибудь длиннющую комбинацию и думаешь, что она никогда не забудется, ибо всё логично и однозначно, но проходит год-два и... даже намёка не остаётся.
Сейчас вот лежит в .ssh какой-то id_rsa.pub. Лежит с января 2016 года. А я даже не помню, зачем его создавал.
Какие там ключи (или он там всегда один?) - тем более не помню. А уж про пассфразу - и говорить нечего.
По этой же причине я не использую шифрование данных на диске - боже упаси.
С обычными паролями у меня, собственно, такая же история, но их хоть восстанавливать можно.
А вот с ключами ssh в этом смысле сложнее. Только создавать новую пару, других вариантов нет.
В общем, по идее, всякие там пароли должны быть такими, что их легко вспомнить, но сложно подобрать, а на деле выходит наоборот.
А как у Вас обстоит дело с паролями/пассфразами и прочими подобными вещами?
Случалось ли терять? И как предотвращаете потери?
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: GitLab и ssh
Можно добавить несколько ключей. Если на машине нет добавленного ключа, или забылась пассфраза, можно сгенерить новый и добавить его тоже. Так что я не вижу проблемы.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: GitLab и ssh
Просто периодически заменяю ключи. Их смысл-то как раз в этом и есть.
А чтобы не забыть, рекомендуется распечатывать пароль, помещать его в запечатанный конверт и прятать в банковскую ячейку, например. =)
А чтобы не забыть, рекомендуется распечатывать пароль, помещать его в запечатанный конверт и прятать в банковскую ячейку, например. =)
Re: GitLab и ssh
Вы готовы вводить пассфразу при каждом push-е — так же, как пришлось бы вводить пароль? Или таки используете SSH Agent (в чистом виде или через Gnome Keyring / KDE Wallet)?Hephaestus писал: ↑03.11.2018 12:15С другой стороны, вводить пароль или вводить пассфразу - хрен редьки не слаще.
По мне, SSH однозначно. Если ключ потеряется (или «с другой машины, ну скажем, с рабочей (где нет этого ключа)»), никто не мешает в git remote поставить HTTPS протокол и пользоваться паролем. (Сужу по корпоративному GitLab-у, публичным не пользовался.)
Кстати, о связке SSH Agent с KDE Wallet — прикреплю ссылочку, как я их настраивал, чтобы не потерялась: https://milosophical.me/blog/2015/loading-ssh-keys-at-kde-startup.html
Gnome Keyring должен работать без лишних телодвижений.
Re: GitLab и ssh
Ах да, потерю паролей (всяких личных) предотвращаю хранением их списка (с доменом и логином) в зашифрованном с помощью GPG файле (в нескольких экземплярах).
Для удобства работы с ним пара наколеночных скриптов:
Такой вот самопальный менеджер парлей.
А на работе мы ничего друг от друга не прячем
Для удобства работы с ним пара наколеночных скриптов:
Shell
cat gpgrep
#!/bin/bash
if [[ $2 == "" ]]; then
file="data"
grepping=$1
else
file="$1"
grepping=$2
fi
cat "$file.gpg" | gpg -d | grep --color=auto "$grepping"
Shell
cat gpgedit
#!/bin/bash
if [[ $1 == "" ]]; then
file="data"
else
file="$1"
fi
gpg --decrypt-files "$file.gpg"
chmod 600 "$file.gpg"
$EDITOR $file
gpg --encrypt-files "$file"
rm "$file"
А на работе мы ничего друг от друга не прячем
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: GitLab и ssh
Есть и менее самопальный: https://www.passwordstore.org/. Автор - тот же, что и у Wireguard.
Спасибо сказали:
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Так-то проблемы я тоже не вижу. Вопрос не в этом.Bizdelnick писал: ↑03.11.2018 12:38Можно добавить несколько ключей. Если на машине нет добавленного ключа, или забылась пассфраза, можно сгенерить новый и добавить его тоже. Так что я не вижу проблемы.
Вопрос в том, стоит ли затевать всю эту возню с ключами, есть ли преимущества.
Вероятно, это касается любых ключей шифрования, а не только случаев авторизации на сервисах?
А как это проделать, например, для зашифрованных данных на диске/разделе? Или в этом случае заменять ключи необязательно?
Вообще-то я предполагал, что так и будет. Поэтому и есть сомнения в целесообразности такой схемы.
Я пока ничего не использую. Я пока пытаюсь понять, стоит ли использовать ssh.
А SSH Agent, стало быть, позволит пассфразу не вбивать?
У меня такое не получится. Я забуду пароль от шифра gpg точно так же, как любой из тех паролей, потерю которых хотел предотвратить. В этом-то вся беда.
Я много раз пытался создать пароль, который не забудется и при этом будет достаточно надежным - не выходит.
Всё равно забывается без регулярного использования. А если какой-нибудь завороченный со спецсимволами и прочими причудами - забывается даже при регулярном использовании. Проверено неоднократно.
Поэтому я и не пользуюсь никакими средствами шифрования. Пароли от сервисов/почтовых ящиков и прочих личных кабинетов так или иначе поддаются восстановлению. А вот пароли от ключей - увы.
Меня, вероятно, спасло бы использование вместо пароля какой-нибудь биометрики (отпечатка пальца, например), но это пока на грани фантастики. Где-то что-то такое есть, но это не наш уровень. И наверняка, не везде это применимо.
Re: GitLab и ssh
Рабочего MITM против ssh с ключами пока нет. А вот с https и ssh по паролю -- есть.
А мне нравится passbox, Тоже обвязка вокруг gpg.
На ряде ноутбуков уже давно есть сканер отпечатка пальца. Наверняка его можно как-нибудь прикрутить и к ssh.Hephaestus писал: ↑03.11.2018 13:42Меня, вероятно, спасло бы использование вместо пароля какой-нибудь биометрики (отпечатка пальца, например), но это пока на грани фантастики. Где-то что-то такое есть, но это не наш уровень. И наверняка, не везде это применимо.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Даже прикручивать необязательно.
Мне бы вполне хватило флешки с дактилоскопическим датчиком, в закрытой части можно было бы хранить файл с паролями (или мастер-пароль от хранилища с другими паролями), короче тот пароль (пусть даже один-единственный), который нельзя восстановить и поэтому надо помнить, а он, зараза, забывается всё время.
Главное, чтобы цепочка вида: "файл с паролями -> защищен шифрованием gpg ->защищено паролем ->файл с паролем от gpg ->флешка->отпечаток пальца" завершалась бы некими данными, которые всегда при мне и никогда не меняются (в данном случае это - отпечаток пальца).
И можно было бы, получив доступ на флешку, этот пароль банально скопировать/вставить. Даже автоматизировать не надо.
К сожалению, флешек таких в продаже навскидку не нашлось. Разве что в Китае, но там пока внимательно не смотрел.
Re: GitLab и ssh
Он позволит не вбивать пассфразу при создании каждого ssh-подключения (будет делать это за Вас: агент, как-никак), но спросит её у Вас при первой необходимости.Hephaestus писал: ↑03.11.2018 13:42Я пока ничего не использую. Я пока пытаюсь понять, стоит ли использовать ssh.
А SSH Agent, стало быть, позволит пассфразу не вбивать?
Вручную, в «чистом» виде, это выглядит так. Сперва запускаете ssh-agent, он выплёвывает в stdout немного инфы, чтобы другие программы знали о его наличии в системе. Её надо снова вбить в терминал. Агент будет доступен только в тех сессиях shell, куда Вы эту инфу вобьёте. Затем с помощью ssh-add передать агенту ключи — он спросит пассфразу. Дальше из этой сессии shell можно работать с любыми программами, использующими ssh, ничего не вбивая.
Удобнее, но менее секьюрно запускать ssh-agent вместе с DE, чтобы не заботиться о том, к какой вкладке терминала он подключен, а к какой нет. Как минимум, Gnome и Cinnamon запускают его по умолчанию, плюс избавляют от необходимости вручную вызывать ssh-add. При первом подключении пассфраза запросится, при последующих — нет. (Коллеги говорят, что этот механизм называется Gnome Keyring, как он устроен внутри — я не копался). Для KDE аналогичного эффекта удалось добиться по мануалу из ссылки выше, только запрос пассфразы происходит сразу при запуске.
Спасибо сказали:
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: GitLab и ssh
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: GitLab и ssh
Поэтому я и уточнил: «вручную, в чистом виде»
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: GitLab и ssh
Точно так же. Обычно в FDE (по-крайней мере, в BitLocker, LUKS и TrueCrypt/VeraCrypt) данные шифруются с помощью мастер-ключа, хранящегося рядом, и который, в свою очередь, расшифровывается с помощью легко заменяемых/удаляемых ключей/паролей.Hephaestus писал: ↑03.11.2018 13:42А как это проделать, например, для зашифрованных данных на диске/разделе? Или в этом случае заменять ключи необязательно?
Кажется, он мало у кого работает в Linux, из-за закрытости протоколов, по которым сканер работает. Да и вообще, аутентификация по отпечатку - это больше профанация. По-крайней мере, если используется как единственный способ аутентификации.
Hephaestus
Никто не мешает создать на флешке раздел LUKS, на котором хранить файл с паролями.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Так. Замена ключей/сертификатов и т.п. происходит, скажем, раз в год или там раз в полгода, или ещё как-то в зависимости от требований безопасности. Об этом речь идёт?
Далее, что касается замены ключей при шифровании данных на дисках/разделах:
Стало быть, мастер-ключ шифруется вторичными ключами, именно их мы и заменяем по требованиям безопасности. Правильно понимаю?
А вот теперь вопрос: Вторичные-то ключи мы заменяем - понятно, а мастер-ключ не нуждается в такой замене?
И если нуждается, это означает перешифрование данных, так? Вот об этом я спрашивал.
Но это опять для доступа к данным будет пароль/пассфраза/ещё что-то такое...
А у меня именно с этим проблема - я эти пассфразы/мастер-пароли забываю.
Вот пароли от почтовых ящиков помню. Пароли от форумов - помню. Если не помню - восстанавливаю.
А вот мастер-пароли, пароли от хранилищ, пароли от ключей и прочих шифрованных штуковин - не помню - хоть убей. Может быть потому, что для таких задач стараешься придумать пароль позаковыристей, чем обычно, а может потому, что редко используется.
Но так или иначе - не могу запомнить. Забываю - и все тут. И восстановить-то нельзя. Вот беда.
А почему?
Ну, для меня-то отпечаток пальца (как и любая биометрика) - это нечто такое, что не нужно "помнить" - оно всегда с тобой и уникально (есть только у тебя).
В моём случае дело даже не в том, может ли кто-то чужой взломать пароль и воспользоваться моими данными, дело в том, что я сам не могу воспользоваться своими данными, если забыл пароль.
А биометрические данные забыть невозможно. Вроде бы, идеальная замена паролю, не так ли?
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: GitLab и ssh
Не нуждается (да его и "нельзя просто так взять и заменить"). Если быть точнее - мастер-ключ шифруется не просто исходными ключами, а ключами, пропущенными через PBKDF. Собственно, в случае вскрытия FDE все сводится сначала к подбору PBKDF для одного из активных ключей. Если украли исходный ключ, то можно просто почистить его слот, не трогая мастер-ключ.Hephaestus писал: ↑03.11.2018 23:12Вторичные-то ключи мы заменяем - понятно, а мастер-ключ не нуждается в такой замене?
И если нуждается, это означает перешифрование данных, так? Вот об этом я спрашивал.
Его легко украсть и трудно отрубить заменить. =)
Да, знакомо, увы. Но исходный ключ - это необязательно пароль. Ключем может быть, скажем, фотография, записанная на флешку и запечатанная в конверт. Один из ваших любимых FLAC. ISO-образ диска с вашим первым дистрибутивом Linux, пылящимся на полке. Аппаратный ключ. Все то, что трудно забыть, но легко, при необходимости, поломать. Это тот случай, когда безопасность через неясность работает.Hephaestus писал: ↑03.11.2018 23:12В моём случае дело даже не в том, может ли кто-то чужой взломать пароль и воспользоваться моими данными, дело в том, что я сам не могу воспользоваться своими данными, если забыл пароль.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: GitLab и ssh
Отпечатки Ваших пальцев есть не только у Вас. Они есть на всём, к чему Вы прикасались, и доступны практически кому угодно. Да, подделать отпечаток чуть сложнее, чем вбить украденный пароль, но далеко не невозможно.Hephaestus писал: ↑03.11.2018 23:12Ну, для меня-то отпечаток пальца (как и любая биометрика) - это нечто такое, что не нужно "помнить" - оно всегда с тобой и уникально (есть только у тебя).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: GitLab и ssh
Ну так на этот случай есть программы хранения паролей, в результате остается помнить только пароль к базе данных, а остальные забывать можно. И вводить, всего лишь скопировал и все.Hephaestus писал: ↑03.11.2018 12:15Забываю пассфразы. Создаёшь какую-нибудь длиннющую комбинацию и думаешь, что она никогда не забудется, ибо всё логично и однозначно, но проходит год-два и... даже намёка не остаётся.
Программы: keepass, keepassxc.
Останется только за правило бэкапить время от времени на флешку базу, мало ли что случится.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
А вот это уже интереснее.serzh-z писал: ↑04.11.2018 00:45Но исходный ключ - это необязательно пароль. Ключем может быть, скажем, фотография, записанная на флешку и запечатанная в конверт. Один из ваших любимых FLAC. ISO-образ диска с вашим первым дистрибутивом Linux, пылящимся на полке. Аппаратный ключ. Все то, что трудно забыть, но легко, при необходимости, поломать. Это тот случай, когда безопасность через неясность работает.
Только не очень понятно, как применить, скажем, FLAC или ISO в качестве ключа.
Мне приходит в голову только использовать в качестве пароля хеш от файла.
Но подозреваю, что Вы имели в виду нечто иное.
Можно чуть подробнее?
Да. Снимок сетчатки глаза в этом смысле несколько надежнее - по крайней мере, не остаётся на всём, на что мы смотрели.Bizdelnick писал: ↑04.11.2018 00:46Отпечатки Ваших пальцев есть не только у Вас. Они есть на всём, к чему Вы прикасались, и доступны практически кому угодно.
Ну, вообще-то я предполагал использовать флешку с отпечатком, на которой будет мастер-пароль от базы паролей, хранящейся на компе. Поэтому, кроме отпечатков придётся ещё и флешку украсть, вместе с базой. Тогда уж, если кто-то всерьёз объявит охоту за моими данными (да кому они нужны?), то я полагаю, что флешку заберут вместе с пальцем и компом. Поэтому факт наличия отпечатков на различных предметах - это вообще последний вопрос.Bizdelnick писал: ↑04.11.2018 00:46Да, подделать отпечаток чуть сложнее, чем вбить украденный пароль, но далеко не невозможно.
Впрочем, я уже сказал, меня в данном случае беспокоит не то, как ограничить доступ чужаку, а то, как обеспечить доступ себе. Флешка с отпечатком - это всего лишь средство вспомнить забытый пароль - не более.
Пароль у меня в голове, но мне нужен гарантированный способ его узнать, если вдруг забыл.
Конкретно, программы хранения паролей я не пробовал. А вот мастер-пароль (в Firefox) и хранение в зашифрованном файле - пробовал.
Вот проблема в том, что именно "главный пароль" я обычно и не помню. Остальные могу вспомнить с переменным успехом, а вот "главный пароль" почему-то забывается напрочь.
Как я уже говорил, это может быть, потому что не часто этим паролем пользуюсь (скажем, пароли хранятся в зашифрованом файле, и он нужен только тогда, когда забылся один из текущих паролей), а может потому, что он обычно сложнее всех остальных.
Здесь получается такая штука, что совсем простой пароль в качестве "мастер-пароля" использовать не хочется, начинаешь усложнять. Берешь достаточно длинную комбинацию из строчных и заглавных букв, цифр, спецсимволов - по всем правилам. Например, ИмяЦифрыФамилияСпецсимвол при этом "имя" и "фамилия" содержат заглавные и строчные буквы, записаны по-русски в латинской раскладке, а сама комбинация получается длиной 20 с лишним знаков. Казалось бы, что ещё нужно? Но нет. Если пароль не используется регулярно, спустя какое-то время (порой всего несколько дней) начинаются проблемы:
Черт, а здесь была заглавная буква или строчная?
Цифры были в середине комбинации, а спецсимвол в конце? Или наоборот?
А может, я и не забыл пароль, а просто опечатку сделал, поэтому не подходит?
И всё в таком духе. Но если это пароль от ящика, можно запросить восстановление, а если это пароль от ключа - начинаешь лихорадочно вспоминать, какие там были спецсимволы, а не было ли опечатки, а может это я вообще пароль от другого сервиса вбиваю...
У меня было такое, что на каком-то сервисе придумал сложный пароль знаков 20, вбил его, сервис его молча съел, а потом оказалось, что в профиле сохранилось 16 знаков, а не 20, потому что такова была максимальная длина пароля.
Совсем идеальным для меня было бы не то, что не помнить, а вообще не знать пароль. Тогда он может быть сколь угодно длинным и сложным. И вспоминать его не надо. То есть использовать в качестве ключа какую-нибудь хреновину (примерно то, о чём говорил serzh-z выше). Вот если удастся такое сделать - пожалуй, будет лучшим вариантом.
Re: GitLab и ssh
Это называется паранойя))Hephaestus писал: ↑04.11.2018 13:51десь получается такая штука, что совсем простой пароль в качестве "мастер-пароля" использовать не хочется, начинаешь усложнять. Берешь достаточно длинную комбинацию из строчных и заглавных букв, цифр, спецсимволов - по всем правилам.
Если к вашему компу доступ только у вас, то к чему эти усложнения?. С большей легкостью можно спереть ssh ключ чем открыть базу паролей. А вот доступ к тому что в сети, есть достаточно у многих. Т.е. сложные пароли можно хранить в базе доступ к которой открывается простым паролем.
Если уж такая сильная паранойя, то можно просто запихнуть файл базы куда подальше и когда надо открывать ее. Кто узнает что в каком то левом файле среди кучи каталогов находится база паролей?.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: GitLab и ssh
Заведите записную книжку. Или две…Hephaestus писал: ↑04.11.2018 13:51Пароль у меня в голове, но мне нужен гарантированный способ его узнать, если вдруг забыл.
Делайте все пароли сложными и даже не пытайтесь запомнить никакие кроме «главного». Тогда будете пользоваться им часто.Hephaestus писал: ↑04.11.2018 13:51это может быть, потому что не часто этим паролем пользуюсь (скажем, пароли хранятся в зашифрованом файле, и он нужен только тогда, когда забылся один из текущих паролей), а может потому, что он обычно сложнее всех остальных.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Не паранойя. Привычка просто.
Остальные-то пароли (ко всяким сервисам) составляются согласно требованиям.
Ну и локальные так же - по привычке.
В пределе, если доступ только у меня, пароли вообще не нужны, ни простые, ни сложные.
Значит, его всё-таки паролить надо. И не совсем простым паролем, так?
Re: GitLab и ssh
Если доступ к компьютеру имеют посторонние лица, тогда конечно паролить надо...Hephaestus писал: ↑04.11.2018 15:07Значит, его всё-таки паролить надо. И не совсем простым паролем, так?
А так еще для мобилы есть приложение keepass. Не знаю от нового keepassxc, база подойдет или нет. Но на старой базе от keepassx пока еще работает.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Когда-то было, да. Лет десять назад баловался какими-то сервисами по заработку в Сети.
Имел учетки на разных сайтах, все пароли хранил в записной книжке.
Хорошо бы, но так не получится. Есть учетки, которыми я пользуюсь регулярно и с разных машин.Bizdelnick писал: ↑04.11.2018 15:01Делайте все пароли сложными и даже не пытайтесь запомнить никакие кроме «главного». Тогда будете пользоваться им часто.
И от этих учеток пароли я помню (не забывать же их специально, правда?).
В общем, есть две категории паролей: часто используемые, запоминаемые (от почтовых ящиков, форумов и т.п.)
и суперсложные от всяких там закрытых ключей, контейнеров, банковских сервисов и пр.
Первая категория меня не очень беспокоит, так как все эти пароли поддаются восстановлению.
Со второй категорией сложнее.
Вот скажем, для банковского ЛК у меня в качестве пароля хэш от определенной строки. Я его не помню, и не пытался запомнить - я его каждый раз вычисляю заново. Строку и команду я помню, потому что, опять же, пользуюсь достаточно регулярно (несколько раз в месяц).
А вот если по такому же принципу создать пароль для контейнера с зашифрованной информацией или для пары ключей - забудется - и строка, и команда хеширования, потому что используется не каждый день.
И в данном случае я ищу даже не способ хранения паролей, а способ вспомнить забытый пароль от какого-нибудь контейнера или ключа, который последний раз использовался полгода назад. Ну или способ, как его гарантированно не забыть.
Записная книжка - вариант, да (хоть и не лучший).
Можно записать в файл (здесь возникнет вопрос, как не потерять файл со временем).
Вот насчет "аппаратного ключа" намёк был, может быть, придумается что-то.
Последний раз редактировалось Hephaestus 04.11.2018 15:44, всего редактировалось 1 раз.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Стоп. Я не понял. А если посторонние не имеют доступа к компу, то можно не паролить?
Вот, скажем, создаю я пару ключей для того же гитлаба. Закрытая часть у меня на домашней машине и больше нигде. Посторонних нет. В этом случае можно создать без пассфразы?
Re: GitLab и ssh
Ну а как вы собираетесь без пароля заходить на свой аккаунт?
Тут я имел в виду базу паролей.
Паролить нужно в любом случае...
ssh ключи просто ускоряют добавление изменение файлов в репозитории при работе с git, и всего то.
А так особой безопасности если доступ к компьютеру имеют посторонние лица, они не прибавляют.
Если вы имели в виду вход только по ssh ключу, то да на домашнем компе вполне нормально этим пользоваться.
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: GitLab и ssh
Где-то попадалось утверждение, что около 90 % (не могу уточнить о какой выборке шла речь) корпоративных пользователей не устанавливает пароль для SSH-ключей. Если доверяете приложениям, запускаемым на клиенте, то зачем там использовать ключ с паролем? А если не доверяете, то зачем на этой системе хранить ключ?
Я имел в виду ровно то, что написал: в качестве материала для ключа можно использовать все, что угодно. В случае LUKS (не владею деталями реализации других FDE, но подозреваю, что там все работает примерно так же) к исходному ключу (паролю, файлу, фразе - ко всему или лишь к его части, ограниченной пользователем или умолчаниями) будет применен PBKDF2 (либо даже Argon2 в новых версиях) и часть полученного хеша будет использована для того, чтобы зашифровать мастер-ключ.Hephaestus писал: ↑04.11.2018 13:51Мне приходит в голову только использовать в качестве пароля хеш от файла.
Но подозреваю, что Вы имели в виду нечто иное.
Можно чуть подробнее?
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: GitLab и ssh
Я б не стал рассчитывать на то, что посторонние в принципе не получат доступа к компу. Могут поломать (не обязательно целенаправленно), а некоторые могут и комп изъять.Hephaestus писал: ↑04.11.2018 15:43А если посторонние не имеют доступа к компу, то можно не паролить?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: GitLab и ssh
Bizdelnick
Эти варианты я всерьёз не рассматриваю, потому что существующего уровня защиты всё равно недостаточно.
У меня нет ни зашифрованных файлов, ни разделов с шифрованной FS, то есть вообще ничего такого. По причинам, описанным выше: все эти меры преградят доступ прежде всего мне, потому что я почти наверняка забуду пароль. Да и шифроваться мне незачем. Захотят меня достать - достанут хоть с шифром, хоть без.
Эти варианты я всерьёз не рассматриваю, потому что существующего уровня защиты всё равно недостаточно.
У меня нет ни зашифрованных файлов, ни разделов с шифрованной FS, то есть вообще ничего такого. По причинам, описанным выше: все эти меры преградят доступ прежде всего мне, потому что я почти наверняка забуду пароль. Да и шифроваться мне незачем. Захотят меня достать - достанут хоть с шифром, хоть без.