Re: [問題] ssh vs ssl 幾個問題

作者danny8376 (釣到一隻猴子@_@)

看板Linux

標題Re: [問題] ssh vs ssl 幾個問題

時間Tue Sep 9 19:44:43 2014

※ 引述《newversion (海納百川天下歸心)》之銘言： : 請教幾個 ssh vs ssl 問題 : 1. : 一般 ssh 不需要申請憑證 : 但我已申請 ssl 憑證， ssh可以和它共用憑證嗎？ SSH是跟SSL沒啥關係的東西... SSH是直接驗證對方的key 沒有SSL那種階層授權的系統 : 2 : ssh 的 host key 有沒有定期更換的必要沒有除非你機器被hack或ssh發生會泄露key的漏洞 : 3. passphrase : 假如 ssl設了 passphrase , apache 起動時可以這樣用 : chmod 700 /path/to/passphrase-file : httpd.conf 加入 : SSLPassPhraseDialog exec:/path/to/passphrase-file 能讀到keyfile難道會讀不到這passphrase file? 你覺得這樣設定到底有啥意義? : 但 ssh設了 passphrase , sshd 就起不來了 : sshd 有沒有類似的解決方法？同上既然沒意義你設passphrase有啥用處? : 謝謝！ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.115.50.29 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1410263087.A.C4D.html

推 newversion: 因為在使用 gpg 設 empty passphrase ，它一直問我 09/09 21:12

→ newversion: are u sure, are u sure, are u sure, 搞得我覺得 09/09 21:12

→ newversion: passphrase 好像很重要，所以 sshd & apache 也想給它 09/09 21:13

→ newversion: 設一下 09/09 21:13

→ newversion: 當然有一種情況還是有差： key外流而 passphrase-file 09/09 21:15

→ newversion: 沒外流，還有一道防線 09/09 21:15

→ uranusjr: 設 passphrase 當然還是有用啦, 沒用就不會有這功能了 09/09 22:59

→ uranusjr: 就看你願不願意用方便性去換多一點點安全性 09/09 22:59

→ danny8376: 對service而言沒用好嗎... 09/10 03:54

→ danny8376: passphrase是給client端用的 09/10 03:54

→ danny8376: 可以避免keyfile外流時被直接得到private key 09/10 03:54

→ danny8376: 不過對service而言 passphrase就沒有用處 09/10 03:55

→ danny8376: service所有這種機密檔案都要設600權限 09/10 03:56

→ danny8376: 而這種權限下還能拿到keyfile 自然能讀config 09/10 03:56

→ danny8376: 也能讀到你儲存的passphrase 09/10 03:56

→ danny8376: 回樓上對service哪來方便性? 09/10 03:57

→ danny8376: 這已經不是不方便是連用都有障礙好嗎 09/10 03:58

→ danny8376: 你要別人用這密碼加密結果跟他說我密碼很重要不能說 09/10 03:58

→ danny8376: 那你到底要怎加密? 09/10 03:59

→ danny8376: 回原PO service的key會外流不管有沒有passphrase都該 09/10 04:05

→ danny8376: 整個換掉了 09/10 04:05