1. дома
  2. Вопрос и ответ
  3. Должен ли я беспокоиться об этом ...?

Должен ли я беспокоиться об этом ...?

2012-02-14 3 views
0

Я попытался нажав на мерзавец репо на моем сервере, так что я думал, что я сделал что-то вроде этогоДолжен ли я беспокоиться об этом ...?

git remote add [email protected]

Когда я должен был сделать

git remote add [email protected]

Во всяком случае я думал, что это было странно, что он просил мой пароль, но не понимая, что происходит, я это дал. Я думаю, что сайт также получил мой закрытый ключ, поскольку он, вероятно, сначала попытался использовать мой ключ в ~/.ssh.

Должен ли я изменить свой пароль и/или ключ rsa? Выполняет ли что-то подобное, регистрирует неправильную попытку пароля с неправильным пропуском или ключом rsa? Должен ли я беспокоиться, что если это произойдет, владелец сайта попытается проникнуть на мой сайт?

Также, как нет очевидной из попытки входа в систему, что такое мое имя на самом деле, я беспокоюсь ни о чем? Могу ли я предположить, что он не будет пытаться использовать каждую комбинацию доменов, которые начинаются с games

источник

2012-02-14 qwertymk

+0

Если вы беспокоитесь, то просто измените его. Не может ли это изменить? – annonymously

+0

@annonymously: ну, сложность его изменения - «O (n^4)» для n пользователей этой учетной записи. – qwertymk

ответ

1

Прежде всего, хорошо, что вы заметили свою ошибку и что вас беспокоит достаточно, чтобы задать этот вопрос здесь. Я предполагаю, что большинство людей вернутся к делу и не переживут.

  • ключ RSA является безопасным, так как он используется только в запросе запроса-ответа, чтобы проверить, соответствует ли это сохраненные открытые ключи, она не передается на сервер
  • вы должны изменить свой пароль, а злоумышленник мог бы его зарегистрировать

Возможно, вам не о чем беспокоиться, если владелец сайта взломает вас. Обычно ssh-server не регистрирует пароли. Я все равно изменил бы свой пароль, чтобы быть в безопасности.

В будущем попытайтесь прислушаться к предупреждениям, которые дает ssh (в вашем случае, вероятно, отсутствует запись known_hosts) и воспринимайте их всерьез, вместо того, чтобы бездумно нажать «да».

источник

2012-02-14 12:12:19 jupp0r

-1

EDIT: Как указано, поскольку вы ввели свой пароль при подключении к неизвестному сайту, измените его.

Что касается вашего закрытого ключа, то он до сих пор не отличается одним и тем же паролем - на самом деле удаленный сайт получил бы нюх только вашего открытого ключа, вашего предполагаемого имени пользователя и вашего ip-адреса. Вероятность того, что кто-то по этому адресу активно контролирует одиночную строку журнала «неудачного подключения» или делает что-то коварное, очень, очень и очень мало.

Если вам нужно больше поощрения и хотите получить дополнительную информацию о том, как такие транзакции обычно опускаются, google «diffie/hellman key exchange».

источник

2012-02-14 12:13:03 jka6510

+0

Я думаю, что ваш совет несколько опасен. Можно зарегистрировать пароли ssh (которые, по-видимому, отправлены на сервер @qwertymk), поэтому он обязательно должен его изменить. – jupp0r

+0

Ах, да, никогда не замечал, что он ввел свой пароль, поэтому лучше всего изменить его, хотя шансы на то, что выбор случайного имени домена для подключения и обнаружение того, что он принадлежит кому-то, собирающему неправильные попытки пароля, довольно тонкий. Но судить по потенциальным последствиям, а не по вероятности, я полагаю. – jka6510

+0

Да, согласен. Вероятно, более вероятно, что его поразит молния, но гораздо легче охранять себя в случае с паролем :) – jupp0r

Смежные вопросы

 Смежные вопросы