Мне просто интересно, получит ли SSH-сервер простой пароль в какой-то момент процесса аутентификации. Я знаю, что пароль отправляется зашифрованным, но он каким-то образом должен быть проверен и, следовательно, быть расшифрован сервером. Клиент SSH отправляет только хэш своего пароля или как поддерживается безопасность?Получает ли SSH-сервер пароль пользователя в виде открытого текста?
Пароль передается по зашифрованному каналу на сервер, поэтому его нельзя обнюхивать «на проводе», но sshd требует пароль открытого текста, чтобы убедиться, что он совпадает с локально сохраненным хэшем пароля.
Из-за этого одна из первых вещей, которые происходят, когда система скомпрометирована, заключается в том, что кто-то заменяет sshd, чтобы он мог собирать пароли и отправлять их в другое место.
Вы можете избежать этой проблемы во многом благодаря использованию ключей ssh, которые используют общедоступное/частное шифрование и не предусматривают раскрытие вашего «секретного» сервера или использование многофакторной аутентификации, что уменьшает влияние скомпрометированного пароля (потому что без второго фактора сам пароль не является полезным).
Зачем нужно отправлять пароль в систему безопасности? Конечно, использование ключей с ssh имеет больше смысла, чем использование паролей. Но если вы используете пароль, то он должен быть отправлен на сервер. Хеширование не может выполняться на стороне клиента, поскольку клиент не имеет представления об используемом бэкэнде аутентификации. – arkascha
Это проблема безопасности в том смысле, что мой пароль может быть обнюхал сервер. – user0815
Как сказано: пути вокруг нет. Если это вас беспокоит, используйте ssh-ключи (вам нужно было установить пароль в первую очередь, так что дайте его серверу, не так ли?). Использование ключей должно решить вашу проблему, так как ни пароль, ни пароль не посылаются по сети. Вместо этого используется стратегия проверки ответа на вызов. Большинство ssh-серверов даже не позволяют аутентификации на основе паролей, но по другим причинам. – arkascha