GitLab и ssh (Стоит ли использовать ssh на gitliab?)

Здесь можно поговорить о чём угодно и сколько угодно.

Модератор: Модераторы разделов

Ответить
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

GitLab и ssh

Сообщение Hephaestus »

Импортировал я тут свои репы c github на gitlab.
А gitlab мне и говорит: You won't be able to pull or push project code via SSH until you add an SSH key to your profile.
Дескать, Вы не сможете, пока не добавите... И дальше там напомнить позже/не напоминать.

И вот я задумался: А надо ли это именно по ssh?
В одной стороны, вроде неплохо, безопасность и всё такое...
С другой стороны, вводить пароль или вводить пассфразу - хрен редьки не слаще.
С третьей стороны, если задействовать ssh, то с другой машины, ну скажем, с рабочей (где нет этого ключа), уже будет ничего не сделать.
С четвертой стороны, у меня с этими ключами всегда одна и та же беда: я постоянно теряю к ним доступ.
Забываю пассфразы. Создаёшь какую-нибудь длиннющую комбинацию и думаешь, что она никогда не забудется, ибо всё логично и однозначно, но проходит год-два и... даже намёка не остаётся.
Сейчас вот лежит в .ssh какой-то id_rsa.pub. Лежит с января 2016 года. А я даже не помню, зачем его создавал.
Какие там ключи (или он там всегда один?) - тем более не помню. А уж про пассфразу - и говорить нечего.

По этой же причине я не использую шифрование данных на диске - боже упаси.

С обычными паролями у меня, собственно, такая же история, но их хоть восстанавливать можно.
А вот с ключами ssh в этом смысле сложнее. Только создавать новую пару, других вариантов нет.

В общем, по идее, всякие там пароли должны быть такими, что их легко вспомнить, но сложно подобрать, а на деле выходит наоборот.

А как у Вас обстоит дело с паролями/пассфразами и прочими подобными вещами?
Случалось ли терять? И как предотвращаете потери?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: GitLab и ssh

Сообщение Bizdelnick »

Можно добавить несколько ключей. Если на машине нет добавленного ключа, или забылась пассфраза, можно сгенерить новый и добавить его тоже. Так что я не вижу проблемы.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: GitLab и ssh

Сообщение serzh-z »

Просто периодически заменяю ключи. Их смысл-то как раз в этом и есть.

А чтобы не забыть, рекомендуется распечатывать пароль, помещать его в запечатанный конверт и прятать в банковскую ячейку, например. =)
Спасибо сказали:
Kopilov
Сообщения: 947
ОС: [K]Ubuntu, Debian

Re: GitLab и ssh

Сообщение Kopilov »

Hephaestus писал:
03.11.2018 12:15
С другой стороны, вводить пароль или вводить пассфразу - хрен редьки не слаще.
Вы готовы вводить пассфразу при каждом push-е — так же, как пришлось бы вводить пароль? Или таки используете SSH Agent (в чистом виде или через Gnome Keyring / KDE Wallet)?

По мне, SSH однозначно. Если ключ потеряется (или «с другой машины, ну скажем, с рабочей (где нет этого ключа)»), никто не мешает в git remote поставить HTTPS протокол и пользоваться паролем. (Сужу по корпоративному GitLab-у, публичным не пользовался.)

Кстати, о связке SSH Agent с KDE Wallet — прикреплю ссылочку, как я их настраивал, чтобы не потерялась: https://milosophical.me/blog/2015/loading-ssh-keys-at-kde-startup.html
Gnome Keyring должен работать без лишних телодвижений.
Спасибо сказали:
Kopilov
Сообщения: 947
ОС: [K]Ubuntu, Debian

Re: GitLab и ssh

Сообщение Kopilov »

Ах да, потерю паролей (всяких личных) предотвращаю хранением их списка (с доменом и логином) в зашифрованном с помощью GPG файле (в нескольких экземплярах).
Для удобства работы с ним пара наколеночных скриптов:

Shell

cat gpgrep
#!/bin/bash

if [[ $2 == "" ]]; then
file="data"
grepping=$1
else
file="$1"
grepping=$2
fi

cat "$file.gpg" | gpg -d | grep --color=auto "$grepping"

Shell

cat gpgedit
#!/bin/bash

if [[ $1 == "" ]]; then
file="data"
else
file="$1"
fi

gpg --decrypt-files "$file.gpg"
chmod 600 "$file.gpg"
$EDITOR $file
gpg --encrypt-files "$file"

rm "$file"
Такой вот самопальный менеджер парлей.

А на работе мы ничего друг от друга не прячем :D
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: GitLab и ssh

Сообщение serzh-z »

Kopilov писал:
03.11.2018 12:59
Такой вот самопальный менеджер парлей.
Есть и менее самопальный: https://www.passwordstore.org/. Автор - тот же, что и у Wireguard.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

Bizdelnick писал:
03.11.2018 12:38
Можно добавить несколько ключей. Если на машине нет добавленного ключа, или забылась пассфраза, можно сгенерить новый и добавить его тоже. Так что я не вижу проблемы.
Так-то проблемы я тоже не вижу. Вопрос не в этом.
Вопрос в том, стоит ли затевать всю эту возню с ключами, есть ли преимущества.
serzh-z писал:
03.11.2018 12:52
Просто периодически заменяю ключи. Их смысл-то как раз в этом и есть.
Вероятно, это касается любых ключей шифрования, а не только случаев авторизации на сервисах?
А как это проделать, например, для зашифрованных данных на диске/разделе? Или в этом случае заменять ключи необязательно?
Kopilov писал:
03.11.2018 12:55
Вы готовы вводить пассфразу при каждом push-е — так же, как пришлось бы вводить пароль?
Вообще-то я предполагал, что так и будет. Поэтому и есть сомнения в целесообразности такой схемы.
Kopilov писал:
03.11.2018 12:55
Или таки используете SSH Agent
Я пока ничего не использую. Я пока пытаюсь понять, стоит ли использовать ssh.
А SSH Agent, стало быть, позволит пассфразу не вбивать?
Kopilov писал:
03.11.2018 12:59
Ах да, потерю паролей (всяких личных) предотвращаю хранением их списка (с доменом и логином) в зашифрованном с помощью GPG файле (в нескольких экземплярах).
У меня такое не получится. Я забуду пароль от шифра gpg точно так же, как любой из тех паролей, потерю которых хотел предотвратить. В этом-то вся беда.

Я много раз пытался создать пароль, который не забудется и при этом будет достаточно надежным - не выходит.
Всё равно забывается без регулярного использования. А если какой-нибудь завороченный со спецсимволами и прочими причудами - забывается даже при регулярном использовании. Проверено неоднократно.
Поэтому я и не пользуюсь никакими средствами шифрования. Пароли от сервисов/почтовых ящиков и прочих личных кабинетов так или иначе поддаются восстановлению. А вот пароли от ключей - увы.

Меня, вероятно, спасло бы использование вместо пароля какой-нибудь биометрики (отпечатка пальца, например), но это пока на грани фантастики. Где-то что-то такое есть, но это не наш уровень. И наверняка, не везде это применимо.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: GitLab и ssh

Сообщение SLEDopit »

Hephaestus писал:
03.11.2018 12:15
И вот я задумался: А надо ли это именно по ssh?
Рабочего MITM против ssh с ключами пока нет. А вот с https и ssh по паролю -- есть.
Kopilov писал:
03.11.2018 12:59
Для удобства работы с ним пара наколеночных скриптов:
А мне нравится passbox, Тоже обвязка вокруг gpg.
Hephaestus писал:
03.11.2018 13:42
Меня, вероятно, спасло бы использование вместо пароля какой-нибудь биометрики (отпечатка пальца, например), но это пока на грани фантастики. Где-то что-то такое есть, но это не наш уровень. И наверняка, не везде это применимо.
На ряде ноутбуков уже давно есть сканер отпечатка пальца. Наверняка его можно как-нибудь прикрутить и к ssh.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

SLEDopit писал(а):
03.11.2018 14:01
На ряде ноутбуков уже давно есть сканер отпечатка пальца. Наверняка его можно как-нибудь прикрутить и к ssh.
Даже прикручивать необязательно.
Мне бы вполне хватило флешки с дактилоскопическим датчиком, в закрытой части можно было бы хранить файл с паролями (или мастер-пароль от хранилища с другими паролями), короче тот пароль (пусть даже один-единственный), который нельзя восстановить и поэтому надо помнить, а он, зараза, забывается всё время.

Главное, чтобы цепочка вида: "файл с паролями -> защищен шифрованием gpg ->защищено паролем ->файл с паролем от gpg ->флешка->отпечаток пальца" завершалась бы некими данными, которые всегда при мне и никогда не меняются (в данном случае это - отпечаток пальца).
И можно было бы, получив доступ на флешку, этот пароль банально скопировать/вставить. Даже автоматизировать не надо.

К сожалению, флешек таких в продаже навскидку не нашлось. Разве что в Китае, но там пока внимательно не смотрел.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Kopilov
Сообщения: 947
ОС: [K]Ubuntu, Debian

Re: GitLab и ssh

Сообщение Kopilov »

Hephaestus писал:
03.11.2018 13:42
Я пока ничего не использую. Я пока пытаюсь понять, стоит ли использовать ssh.
А SSH Agent, стало быть, позволит пассфразу не вбивать?
Он позволит не вбивать пассфразу при создании каждого ssh-подключения (будет делать это за Вас: агент, как-никак), но спросит её у Вас при первой необходимости.

Вручную, в «чистом» виде, это выглядит так. Сперва запускаете ssh-agent, он выплёвывает в stdout немного инфы, чтобы другие программы знали о его наличии в системе. Её надо снова вбить в терминал. Агент будет доступен только в тех сессиях shell, куда Вы эту инфу вобьёте. Затем с помощью ssh-add передать агенту ключи — он спросит пассфразу. Дальше из этой сессии shell можно работать с любыми программами, использующими ssh, ничего не вбивая.

Удобнее, но менее секьюрно запускать ssh-agent вместе с DE, чтобы не заботиться о том, к какой вкладке терминала он подключен, а к какой нет. Как минимум, Gnome и Cinnamon запускают его по умолчанию, плюс избавляют от необходимости вручную вызывать ssh-add. При первом подключении пассфраза запросится, при последующих — нет. (Коллеги говорят, что этот механизм называется Gnome Keyring, как он устроен внутри — я не копался). Для KDE аналогичного эффекта удалось добиться по мануалу из ссылки выше, только запрос пассфразы происходит сразу при запуске.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: GitLab и ssh

Сообщение Bizdelnick »

Kopilov писал:
03.11.2018 14:22
Сперва запускаете ssh-agent, он выплёвывает в stdout немного инфы, чтобы другие программы знали о его наличии в системе. Её надо снова вбить в терминал.
Можно сделать проще: eval `ssh-agent`.
Kopilov писал:
03.11.2018 14:22
Удобнее, но менее секьюрно запускать ssh-agent вместе с DE
Я использую keychain.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Kopilov
Сообщения: 947
ОС: [K]Ubuntu, Debian

Re: GitLab и ssh

Сообщение Kopilov »

Bizdelnick писал:
03.11.2018 15:09
Можно сделать проще: eval `ssh-agent`.
Поэтому я и уточнил: «вручную, в чистом виде» :)
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: GitLab и ssh

Сообщение serzh-z »

Hephaestus писал:
03.11.2018 13:42
А как это проделать, например, для зашифрованных данных на диске/разделе? Или в этом случае заменять ключи необязательно?
Точно так же. Обычно в FDE (по-крайней мере, в BitLocker, LUKS и TrueCrypt/VeraCrypt) данные шифруются с помощью мастер-ключа, хранящегося рядом, и который, в свою очередь, расшифровывается с помощью легко заменяемых/удаляемых ключей/паролей.
SLEDopit писал(а):
03.11.2018 14:01
На ряде ноутбуков уже давно есть сканер отпечатка пальца.
Кажется, он мало у кого работает в Linux, из-за закрытости протоколов, по которым сканер работает. Да и вообще, аутентификация по отпечатку - это больше профанация. По-крайней мере, если используется как единственный способ аутентификации.

Hephaestus
Никто не мешает создать на флешке раздел LUKS, на котором хранить файл с паролями.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

serzh-z писал:
03.11.2018 12:52
Просто периодически заменяю ключи. Их смысл-то как раз в этом и есть.
Так. Замена ключей/сертификатов и т.п. происходит, скажем, раз в год или там раз в полгода, или ещё как-то в зависимости от требований безопасности. Об этом речь идёт?

Далее, что касается замены ключей при шифровании данных на дисках/разделах:
serzh-z писал:
03.11.2018 19:16
Точно так же. Обычно в FDE (по-крайней мере, в BitLocker, LUKS и TrueCrypt/VeraCrypt) данные шифруются с помощью мастер-ключа, хранящегося рядом, и который, в свою очередь, расшифровывается с помощью легко заменяемых/удаляемых ключей/паролей.
Стало быть, мастер-ключ шифруется вторичными ключами, именно их мы и заменяем по требованиям безопасности. Правильно понимаю?

А вот теперь вопрос: Вторичные-то ключи мы заменяем - понятно, а мастер-ключ не нуждается в такой замене?
И если нуждается, это означает перешифрование данных, так? Вот об этом я спрашивал.
serzh-z писал:
03.11.2018 19:16
Никто не мешает создать на флешке раздел LUKS, на котором хранить файл с паролями.
Но это опять для доступа к данным будет пароль/пассфраза/ещё что-то такое...
А у меня именно с этим проблема - я эти пассфразы/мастер-пароли забываю.
Вот пароли от почтовых ящиков помню. Пароли от форумов - помню. Если не помню - восстанавливаю.
А вот мастер-пароли, пароли от хранилищ, пароли от ключей и прочих шифрованных штуковин - не помню - хоть убей. Может быть потому, что для таких задач стараешься придумать пароль позаковыристей, чем обычно, а может потому, что редко используется.
Но так или иначе - не могу запомнить. Забываю - и все тут. И восстановить-то нельзя. Вот беда.
serzh-z писал:
03.11.2018 19:16
Да и вообще, аутентификация по отпечатку - это больше профанация.
А почему?
Ну, для меня-то отпечаток пальца (как и любая биометрика) - это нечто такое, что не нужно "помнить" - оно всегда с тобой и уникально (есть только у тебя).
В моём случае дело даже не в том, может ли кто-то чужой взломать пароль и воспользоваться моими данными, дело в том, что я сам не могу воспользоваться своими данными, если забыл пароль.
А биометрические данные забыть невозможно. Вроде бы, идеальная замена паролю, не так ли?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: GitLab и ssh

Сообщение serzh-z »

Hephaestus писал:
03.11.2018 23:12
Вторичные-то ключи мы заменяем - понятно, а мастер-ключ не нуждается в такой замене?
И если нуждается, это означает перешифрование данных, так? Вот об этом я спрашивал.
Не нуждается (да его и "нельзя просто так взять и заменить"). Если быть точнее - мастер-ключ шифруется не просто исходными ключами, а ключами, пропущенными через PBKDF. Собственно, в случае вскрытия FDE все сводится сначала к подбору PBKDF для одного из активных ключей. Если украли исходный ключ, то можно просто почистить его слот, не трогая мастер-ключ.
Hephaestus писал:
03.11.2018 23:12
А почему?
Его легко украсть и трудно отрубить заменить. =)
Hephaestus писал:
03.11.2018 23:12
В моём случае дело даже не в том, может ли кто-то чужой взломать пароль и воспользоваться моими данными, дело в том, что я сам не могу воспользоваться своими данными, если забыл пароль.
Да, знакомо, увы. Но исходный ключ - это необязательно пароль. Ключем может быть, скажем, фотография, записанная на флешку и запечатанная в конверт. Один из ваших любимых FLAC. ISO-образ диска с вашим первым дистрибутивом Linux, пылящимся на полке. Аппаратный ключ. Все то, что трудно забыть, но легко, при необходимости, поломать. Это тот случай, когда безопасность через неясность работает.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: GitLab и ssh

Сообщение Bizdelnick »

Hephaestus писал:
03.11.2018 23:12
Ну, для меня-то отпечаток пальца (как и любая биометрика) - это нечто такое, что не нужно "помнить" - оно всегда с тобой и уникально (есть только у тебя).
Отпечатки Ваших пальцев есть не только у Вас. Они есть на всём, к чему Вы прикасались, и доступны практически кому угодно. Да, подделать отпечаток чуть сложнее, чем вбить украденный пароль, но далеко не невозможно.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
ormorph
Сообщения: 2604
ОС: Gentoo

Re: GitLab и ssh

Сообщение ormorph »

Hephaestus писал:
03.11.2018 12:15
Забываю пассфразы. Создаёшь какую-нибудь длиннющую комбинацию и думаешь, что она никогда не забудется, ибо всё логично и однозначно, но проходит год-два и... даже намёка не остаётся.
Ну так на этот случай есть программы хранения паролей, в результате остается помнить только пароль к базе данных, а остальные забывать можно. И вводить, всего лишь скопировал и все.
Программы: keepass, keepassxc.
Останется только за правило бэкапить время от времени на флешку базу, мало ли что случится.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

serzh-z писал:
04.11.2018 00:45
Но исходный ключ - это необязательно пароль. Ключем может быть, скажем, фотография, записанная на флешку и запечатанная в конверт. Один из ваших любимых FLAC. ISO-образ диска с вашим первым дистрибутивом Linux, пылящимся на полке. Аппаратный ключ. Все то, что трудно забыть, но легко, при необходимости, поломать. Это тот случай, когда безопасность через неясность работает.
А вот это уже интереснее.
Только не очень понятно, как применить, скажем, FLAC или ISO в качестве ключа.
Мне приходит в голову только использовать в качестве пароля хеш от файла.
Но подозреваю, что Вы имели в виду нечто иное.
Можно чуть подробнее?

Bizdelnick писал:
04.11.2018 00:46
Отпечатки Ваших пальцев есть не только у Вас. Они есть на всём, к чему Вы прикасались, и доступны практически кому угодно.
Да. Снимок сетчатки глаза в этом смысле несколько надежнее - по крайней мере, не остаётся на всём, на что мы смотрели.
Bizdelnick писал:
04.11.2018 00:46
Да, подделать отпечаток чуть сложнее, чем вбить украденный пароль, но далеко не невозможно.
Ну, вообще-то я предполагал использовать флешку с отпечатком, на которой будет мастер-пароль от базы паролей, хранящейся на компе. Поэтому, кроме отпечатков придётся ещё и флешку украсть, вместе с базой. Тогда уж, если кто-то всерьёз объявит охоту за моими данными (да кому они нужны?), то я полагаю, что флешку заберут вместе с пальцем и компом. Поэтому факт наличия отпечатков на различных предметах - это вообще последний вопрос.
Впрочем, я уже сказал, меня в данном случае беспокоит не то, как ограничить доступ чужаку, а то, как обеспечить доступ себе. Флешка с отпечатком - это всего лишь средство вспомнить забытый пароль - не более.
Пароль у меня в голове, но мне нужен гарантированный способ его узнать, если вдруг забыл.
ormorph писал(а):
04.11.2018 11:11
Ну так на этот случай есть программы хранения паролей, в результате остается помнить только пароль к базе данных
Конкретно, программы хранения паролей я не пробовал. А вот мастер-пароль (в Firefox) и хранение в зашифрованном файле - пробовал.
Вот проблема в том, что именно "главный пароль" я обычно и не помню. Остальные могу вспомнить с переменным успехом, а вот "главный пароль" почему-то забывается напрочь.
Как я уже говорил, это может быть, потому что не часто этим паролем пользуюсь (скажем, пароли хранятся в зашифрованом файле, и он нужен только тогда, когда забылся один из текущих паролей), а может потому, что он обычно сложнее всех остальных.

Здесь получается такая штука, что совсем простой пароль в качестве "мастер-пароля" использовать не хочется, начинаешь усложнять. Берешь достаточно длинную комбинацию из строчных и заглавных букв, цифр, спецсимволов - по всем правилам. Например, ИмяЦифрыФамилияСпецсимвол при этом "имя" и "фамилия" содержат заглавные и строчные буквы, записаны по-русски в латинской раскладке, а сама комбинация получается длиной 20 с лишним знаков. Казалось бы, что ещё нужно? Но нет. Если пароль не используется регулярно, спустя какое-то время (порой всего несколько дней) начинаются проблемы:
Черт, а здесь была заглавная буква или строчная?
Цифры были в середине комбинации, а спецсимвол в конце? Или наоборот?
А может, я и не забыл пароль, а просто опечатку сделал, поэтому не подходит?
И всё в таком духе. Но если это пароль от ящика, можно запросить восстановление, а если это пароль от ключа - начинаешь лихорадочно вспоминать, какие там были спецсимволы, а не было ли опечатки, а может это я вообще пароль от другого сервиса вбиваю...

У меня было такое, что на каком-то сервисе придумал сложный пароль знаков 20, вбил его, сервис его молча съел, а потом оказалось, что в профиле сохранилось 16 знаков, а не 20, потому что такова была максимальная длина пароля.


Совсем идеальным для меня было бы не то, что не помнить, а вообще не знать пароль. Тогда он может быть сколь угодно длинным и сложным. И вспоминать его не надо. То есть использовать в качестве ключа какую-нибудь хреновину (примерно то, о чём говорил serzh-z выше). Вот если удастся такое сделать - пожалуй, будет лучшим вариантом.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
ormorph
Сообщения: 2604
ОС: Gentoo

Re: GitLab и ssh

Сообщение ormorph »

Hephaestus писал:
04.11.2018 13:51
десь получается такая штука, что совсем простой пароль в качестве "мастер-пароля" использовать не хочется, начинаешь усложнять. Берешь достаточно длинную комбинацию из строчных и заглавных букв, цифр, спецсимволов - по всем правилам.
Это называется паранойя))
Если к вашему компу доступ только у вас, то к чему эти усложнения?. С большей легкостью можно спереть ssh ключ чем открыть базу паролей. А вот доступ к тому что в сети, есть достаточно у многих. Т.е. сложные пароли можно хранить в базе доступ к которой открывается простым паролем.
Если уж такая сильная паранойя, то можно просто запихнуть файл базы куда подальше и когда надо открывать ее. Кто узнает что в каком то левом файле среди кучи каталогов находится база паролей?.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: GitLab и ssh

Сообщение Bizdelnick »

Hephaestus писал:
04.11.2018 13:51
Пароль у меня в голове, но мне нужен гарантированный способ его узнать, если вдруг забыл.
Заведите записную книжку. Или две…
Hephaestus писал:
04.11.2018 13:51
это может быть, потому что не часто этим паролем пользуюсь (скажем, пароли хранятся в зашифрованом файле, и он нужен только тогда, когда забылся один из текущих паролей), а может потому, что он обычно сложнее всех остальных.
Делайте все пароли сложными и даже не пытайтесь запомнить никакие кроме «главного». Тогда будете пользоваться им часто.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

ormorph писал(а):
04.11.2018 14:45
Это называется паранойя
Не паранойя. Привычка просто.
Остальные-то пароли (ко всяким сервисам) составляются согласно требованиям.
Ну и локальные так же - по привычке.
ormorph писал(а):
04.11.2018 14:45
Если к вашему компу доступ только у вас, то к чему эти усложнения?
В пределе, если доступ только у меня, пароли вообще не нужны, ни простые, ни сложные.
ormorph писал(а):
04.11.2018 14:45
С большей легкостью можно спереть ssh ключ
Значит, его всё-таки паролить надо. И не совсем простым паролем, так?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
ormorph
Сообщения: 2604
ОС: Gentoo

Re: GitLab и ssh

Сообщение ormorph »

Hephaestus писал:
04.11.2018 15:07
Значит, его всё-таки паролить надо. И не совсем простым паролем, так?
Если доступ к компьютеру имеют посторонние лица, тогда конечно паролить надо...
А так еще для мобилы есть приложение keepass. Не знаю от нового keepassxc, база подойдет или нет. Но на старой базе от keepassx пока еще работает.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

Bizdelnick писал:
04.11.2018 15:01
Заведите записную книжку. Или две…
Когда-то было, да. Лет десять назад баловался какими-то сервисами по заработку в Сети.
Имел учетки на разных сайтах, все пароли хранил в записной книжке.
Bizdelnick писал:
04.11.2018 15:01
Делайте все пароли сложными и даже не пытайтесь запомнить никакие кроме «главного». Тогда будете пользоваться им часто.
Хорошо бы, но так не получится. Есть учетки, которыми я пользуюсь регулярно и с разных машин.
И от этих учеток пароли я помню (не забывать же их специально, правда?).

В общем, есть две категории паролей: часто используемые, запоминаемые (от почтовых ящиков, форумов и т.п.)
и суперсложные от всяких там закрытых ключей, контейнеров, банковских сервисов и пр.
Первая категория меня не очень беспокоит, так как все эти пароли поддаются восстановлению.
Со второй категорией сложнее.
Вот скажем, для банковского ЛК у меня в качестве пароля хэш от определенной строки. Я его не помню, и не пытался запомнить - я его каждый раз вычисляю заново. Строку и команду я помню, потому что, опять же, пользуюсь достаточно регулярно (несколько раз в месяц).
А вот если по такому же принципу создать пароль для контейнера с зашифрованной информацией или для пары ключей - забудется - и строка, и команда хеширования, потому что используется не каждый день.
И в данном случае я ищу даже не способ хранения паролей, а способ вспомнить забытый пароль от какого-нибудь контейнера или ключа, который последний раз использовался полгода назад. Ну или способ, как его гарантированно не забыть.

Записная книжка - вариант, да (хоть и не лучший).
Можно записать в файл (здесь возникнет вопрос, как не потерять файл со временем).
Вот насчет "аппаратного ключа" намёк был, может быть, придумается что-то.
Последний раз редактировалось Hephaestus 04.11.2018 15:44, всего редактировалось 1 раз.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

ormorph писал(а):
04.11.2018 15:21
Если доступ к компьютеру имеют посторонние лица, тогда конечно паролить надо...
Стоп. Я не понял. А если посторонние не имеют доступа к компу, то можно не паролить?
Вот, скажем, создаю я пару ключей для того же гитлаба. Закрытая часть у меня на домашней машине и больше нигде. Посторонних нет. В этом случае можно создать без пассфразы?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
ormorph
Сообщения: 2604
ОС: Gentoo

Re: GitLab и ssh

Сообщение ormorph »

Hephaestus писал:
04.11.2018 15:43
В этом случае можно создать без пассфразы?
Ну а как вы собираетесь без пароля заходить на свой аккаунт?
Тут я имел в виду базу паролей.
Паролить нужно в любом случае...
ssh ключи просто ускоряют добавление изменение файлов в репозитории при работе с git, и всего то.
А так особой безопасности если доступ к компьютеру имеют посторонние лица, они не прибавляют.
Если вы имели в виду вход только по ssh ключу, то да на домашнем компе вполне нормально этим пользоваться.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: GitLab и ssh

Сообщение serzh-z »

Hephaestus писал:
04.11.2018 15:43
В этом случае можно создать без пассфразы?
Где-то попадалось утверждение, что около 90 % (не могу уточнить о какой выборке шла речь) корпоративных пользователей не устанавливает пароль для SSH-ключей. Если доверяете приложениям, запускаемым на клиенте, то зачем там использовать ключ с паролем? А если не доверяете, то зачем на этой системе хранить ключ?
Hephaestus писал:
04.11.2018 13:51
Мне приходит в голову только использовать в качестве пароля хеш от файла.
Но подозреваю, что Вы имели в виду нечто иное.
Можно чуть подробнее?
Я имел в виду ровно то, что написал: в качестве материала для ключа можно использовать все, что угодно. В случае LUKS (не владею деталями реализации других FDE, но подозреваю, что там все работает примерно так же) к исходному ключу (паролю, файлу, фразе - ко всему или лишь к его части, ограниченной пользователем или умолчаниями) будет применен PBKDF2 (либо даже Argon2 в новых версиях) и часть полученного хеша будет использована для того, чтобы зашифровать мастер-ключ.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: GitLab и ssh

Сообщение Bizdelnick »

Hephaestus писал:
04.11.2018 15:43
А если посторонние не имеют доступа к компу, то можно не паролить?
Я б не стал рассчитывать на то, что посторонние в принципе не получат доступа к компу. Могут поломать (не обязательно целенаправленно), а некоторые могут и комп изъять.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: GitLab и ssh

Сообщение Hephaestus »

Bizdelnick
Эти варианты я всерьёз не рассматриваю, потому что существующего уровня защиты всё равно недостаточно.
У меня нет ни зашифрованных файлов, ни разделов с шифрованной FS, то есть вообще ничего такого. По причинам, описанным выше: все эти меры преградят доступ прежде всего мне, потому что я почти наверняка забуду пароль. Да и шифроваться мне незачем. Захотят меня достать - достанут хоть с шифром, хоть без.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Ответить