タグ付けされた質問 「password」

パスワードを使用してSSHログインを自動化する方法 テストVMを構成しているので、強力なセキュリティは考慮されません。最小限の構成で許容可能なセキュリティを確保するためにSSHが選択されました。 例） echo password | ssh id@server これは機能しません。 誰かが私を誘導したいくつかのトリックでこれをやったことを覚えていますが、今使ったトリックを思い出せません...

419 ssh  password  automation 

Linux（Debian Squeeze）では、一部のユーザー（選択したグループまたはルートを除くすべてのユーザー）のパスワードを使用してSSHログインを無効にしたいと思います。ただし、証明書を使用してログインを無効にしたくありません。 編集：詳細な回答ありがとうございます！何らかの理由で、これは私のサーバーでは機能しません： Match User !root PasswordAuthentication no ...しかし、簡単に置き換えることができます PasswordAuthentication no Match User root PasswordAuthentication yes

166 linux  ssh  password  login 

sudoRHEL（Fedora、CentOSなど）またはUbuntuディストリビューションでパスワードなしのアクセスを設定するにはどうすればよいですか？（ディストリビューション間で同じ場合、さらに良いです！） 設定：不正アクセスの心配のない個人用および/または実験室/トレーニング機器（つまり、デバイスは非パブリックネットワーク上にあり、すべてのユーザーは完全に信頼されており、デバイスの内容は「プレーンバニラ」です） 。

156 linux  password  sudo 

SSH（PuTTY、Windows）を使用してFedora（リリース13 Goddard）サーバーにログインしようとしました。何らかの理由で、Enterユーザー名を入力した後、パススルーが行われず、パスワードを入力して、もう一度Enterキーを押しました。サーバーが幸せに迎えてくれたときだけ、自分の間違いに気付きました myusername MYPASSWORD @ server.example.comのパスワード： この時点で接続を切断し、そのマシンのパスワードを変更しました（別のSSH接続を使用）。 ...今、私の質問は次のとおりです。そのような失敗したログインは、ログファイルにプレーンテキストで保存されていますか？言い換えると、リモート管理者が次にログをスキャンするときに、リモート管理者の目の前で（今では無効になっている）パスワードを強制しましたか？ 更新 「将来これを防ぐために何をすべきか」という暗黙の質問に関するすべてのコメントをありがとう。迅速な1回限りの接続のために、このPuTTY機能を使用します。 where-was-it-again "auto-login username"オプションを置き換えるには また、PuTTY docsで説明されているように、sshキーの使用をより頻繁に開始します。

142 ssh  logging  password  windows  login 

これは、Linux、MacOSX、およびFreeBSD上のOpenSSHクライアントに関する質問です。 通常、SSHキーを使用してシステムにログインします。 時々、SSHクライアントがSSHキーを無視し、代わりにパスワードを使用するようにします。「sshホスト名」の場合、クライアントは、SSHキーへのパスフレーズの入力を求めますが、これは迷惑です。代わりに、クライアントがSSHキーを無視するようにして、サーバーが代わりにパスワードを要求するようにします。 以下を試してみましたが、SSHキーへのパスフレーズの入力を求められます。この後、パスワードの入力を求められます。 ssh -o PreferredAuthentications=password host.example.org リモートホストを変更せずに、クライアント側でこれを行いたいです。

139 ssh  authentication  password 

社内の複数の人に知られる必要があるさまざまなパスワードがあります。たとえば、インターネットルーターの管理者パスワード、Webホストのパスワード、および安全なコードのようないくつかの「非IT」パスワード。 現在、低価値システムには「標準パスワード」のアドホックシステムを使用し、より重要/潜在的に損害を与えるシステムにはパスワードの口頭での共有を使用しています。ほとんどの人は、これは良いシステムではないことに同意すると思います。 私たちが望んでいるのは、「共有」パスワードを保存するためのソフトウェアソリューションであり、それぞれのアクセスは実際にそれを必要とする人々に制限されています。理想的には、これはパスワードの定期的な変更を促す、または強制します。また、誰が特定のパスワードにアクセスできるかを示すことができるはずです（たとえば、誰がサーバーXYZのルートパスワードを知っているか？） パスワードを保存および共有するためのソフトウェアソリューションを提案できますか？ 気をつけるべきことはありますか？ これに対する中小企業の一般的な慣行は何ですか？

62 password 

ここで私たちの何人がシステム管理者タイプの人であるかは明らかですが、多くのシステムとアカウントにまたがる多くのパスワードがあります。優先度の低いものもあれば、発見されれば会社に深刻な害を及ぼす可能性のあるものもあります（権力を愛しているだけではありませんか？）。 シンプルで覚えやすいパスワードは受け入れられません。唯一のオプションは、複雑で覚えにくい（および入力しにくい）パスワードです。それでは、パスワードを追跡するために何を使用しますか？プログラムを使用してそれらを暗号化します（さらに別のパスワードが必要になります）か、人に紙片を預けるなど、それほど複雑でないことをしますか、それともそれらのオプションの中間ですか？

59 security  password 

キーを介してサーバーにアクセスするというアイデアが大好きです。そのためssh、ボックスに毎回パスワードを入力する必要がなく、ユーザーの（ロックではなくroot）パスワードをロックすることもpasswd -l usernameできるため、キーなしでログインすることはできません。 しかし、sudoコマンドのパスワードを入力する必要がある場合、これらはすべて壊れます。そのため、パスワードなしでログインできるように、パスワードなしでsudoセットアップしたいと思っています。 しかし、予期せぬ方法で私に逆火を起こすかもしれないという直感を持ち続けています。そのような設定に注意点はありますか？サーバー上のユーザーアカウントに対してこれを行うことを推奨/推奨しませんか？ 明確化 sudoここでは、サービスや管理スクリプトではなく、対話型ユーザーセッションでの使用について説明しています。 クラウドサーバーの使用について話している（したがって、マシンへの物理的なローカルアクセス権がなく、リモートでしかログインできない） sudoパスワードの再入力が不要なタイムアウトが設定されていることは知っています。しかし、私のコンサートは、実際にパスワードを物理的に入力するための余分な時間を無駄にすることではありません。しかし、私の考えは、パスワードをまったく処理する必要がないことでした。 暗記しなければならない場合、短すぎて安全にしたり再利用したりできない リモートアカウント用に長くて一意のパスワードを生成する場合、それをどこかに保存し（ローカルパスワードマネージャープログラムまたはクラウドサービス）、使用するたびに取得する必要がありますsudo。私はそれを避けたいと思いました。 そのため、この質問で、ある構成のリスク、注意事項、トレードオフを他の構成よりもよく理解したかったのです。 フォローアップ1 すべての回答ではsudo、個人ユーザーアカウントが侵害された場合、「簡単な」特権の昇格が可能になるため、パスワードレスは安全ではないと述べています。という事は承知しています。しかし、一方で、パスワードを使用すると、パスワードにすべての古典的なリスクが生じます（短すぎるまたは共通の文字列、異なるサービス間で繰り返されるなど）。しかし、パスワード認証を無効に/etc/ssh/sshd_configしてログイン用のキーが必要な場合は、入力しsudoやすいように単純なパスワードを使用できますか？それは有効な戦略ですか？ フォローアップ2 rootssh経由でログインするキーもある場合、誰かがコンピューターにアクセスしてキーを盗むと（OSのキーリングパスワードで保護されます！）、rootアカウントに直接アクセスできる可能性があります、sudoパスをバイパスします。その場合、rootアカウントにアクセスするためのポリシーは何ですか？

58 linux  security  password  sudo 

ええ、私はVMまたはリモートを起動してパスワードを試すことができます...私は知っています...しかし、パスワードが正しいことを確認または拒否するのに十分なログインをシミュレートするツールまたはスクリプトがありますか？ シナリオ： サーバーサービスアカウントのパスワードは「忘れられた」...しかし、それが何であるかはわかっていると思います。資格情報を何かに渡し、「正しいパスワード」または「誤ったパスワード」でキックバックさせたい。 私は、ユーザーアカウントとパスワードが渡されるドライブマッピングスクリプトを考えて、ドライブを正常にマッピングしたかどうかを確認しましたが、正常に動作させるロジックで失われました... -スクリプトはmsgboxを介してユーザー名を要求します-スクリプトはmsgboxを介してパスワードを要求します-スクリプトは、すべてのユーザーがアクセスできる共通の共有にドライブをマップしようとします-スクリプトが「正しいパスワード」または「間違ったパスワード" どんな助けも感謝しています...あなたはこれをサポートするツールを必要としないまれな出来事だと思いますが...まあ....

46 windows  scripting  login  password 

ドメインのパスワードの複雑さのポリシーを無効にするにはどうすればよいですか？ ドメインコントローラー（Windows Server 2008）にログオンしましたが、ローカルポリシーで、もちろん変更によってロックされているオプションを見つけました。ただし、グループポリシーマネージャーに同じ種類のポリシーが見つかりません。どのノードを展開する必要がありますか？

46 windows-server-2008  active-directory  group-policy  password 

私は特定のアクションがパスフレーズを入力するために必要なソフトウェアデーモンを実行しています。 $ darkcoind masternode start <mypassphrase> 今、私は私のヘッドレスdebianサーバーでいくつかのセキュリティ上の懸念を得ました。 たとえば、bashの履歴を検索すると、Ctrl+Rこの強力なパスワードが表示されます。サーバーが危険にさらされ、一部の侵入者がシェルアクセスを持ち、単純Ctrl+Rに履歴でパスフレーズを見つけることができると想像します。 それはbashの歴史の中で示した、ことをせずにパスフレーズを入力する方法はありますps、/proc他のどこか？ 更新1：デーモンにパスワードを渡さないとエラーがスローされます。これはオプションではありません。 更新2：ソフトウェアを削除したり、開発者をハングアップするなどのその他の役立つヒントを削除したりしないでください。私はこれがベストプラクティスの例ではありません知っているが、このソフトウェアは、に基づいてビットコインとすべてのビットコインベースのクライアントは、これらのコマンドに耳を傾け、その既知のセキュリティ上の問題はまだ（議論されてJSON RPCサーバのいくつかの種類あり、B、C） 。 更新3：デーモンは既に開始され、コマンドで実行されています $ darkcoind -daemon 実行するとps、起動コマンドのみが表示されます。 $ ps aux | grep darkcoin user 12337 0.0 0.0 10916 1084 pts/4 S+ 09:19 0:00 grep darkcoin user 21626 0.6 0.3 1849716 130292 ? SLl May02 6:48 darkcoind -daemon だから、パスフレーズでコマンドを渡すことに表示されないpsか、/procまったく。 $ …

43 linux  security  command-line-interface  password 

Ubuntu Serverでsshを使用してパスワードなしのログインを設定しようとしていますが、次のようになります： Agent admitted failure to sign using the key パスワードの入力を求められます。 新しいrsaキーを生成しました。システムを再起動する前に、問題なく機能しました。 すべてのリンクがこのバグにつながりますが、何も機能しません。SSHエージェントはまだ実行されていません。 それを修正する方法は？ファイルに特定の権限が必要な場合がありますか？

38 ubuntu  ssh  password  remote-access 

昨年、ホスティングプロバイダーからアカウントの1つに関するメールが届きました。これは侵害されており、スパムのかなり寛大な支援を提供するために使用されていました。 どうやら、ユーザーはパスワードを自分の名前のバリエーションにリセットしたようです（姓はおそらく最初に推測できるものです）。彼女は1週間以内にすぐにハッキングされました。ブロックされました。 これまでのところ、特に異常なものはありません。発生します。パスワードをより安全なものに変更し、ユーザーを教育して先に進みます。 しかし、私たちのアカウントの1つが危険にさらされたという事実よりも、何かが心配でした。 ホスティングプロバイダーは、役立つように努力し、次のメールで実際にパスワードを引用しました。 びっくりしました。間もなく契約を更新する予定です。これは契約を破るような気がします。 ホスティングプロバイダーがアカウントで使用されている実際のパスワードを見つけることができるのはどれくらい一般的ですか？ ほとんどのホスティングプロバイダーには、最前線の担当者よりも多くのアクセス権を持つアカウント不正使用部門があります（必要に応じてパスワードを検索できます）か、またはスタッフがユーザーにアクセスできるようにするベストプラクティスに従っていないだけですか？パスワード？パスワードはハッシュ化され、取得できないはずだと思いましたか？これは、全員のパスワードをプレーンテキストで保存するということですか？ それもあり、法的ホスティングプロバイダは、この方法でアカウントのパスワードを発見できるようにするために？それは私にはとても信じられないようです。 プロバイダーの変更を検討する前に、これが一般的な慣行ではなく、次のホスティングプロバイダーでも同じような設定が行われない可能性があるという安心感をお願いします。 これに関するあなたの意見を聞くことを楽しみにしています。

31 security  email  password  best-practices 

ドメイン内のシステムにスケジュールされたタスクを追加するPowershellスクリプトを使用しています。このスクリプトを実行すると、パスワードの入力が求められます。私は時々パスワードを太らせるとプロセスが開始され、それが私のアカウントをロックアウトします。入力した内容がドメインで検証されることを確認するために、資格情報を確認する方法はありますか？ ドメインコントローラーを照会する方法を見つけたいです。Google検索をいくつか行ったので、WMIクエリを実行してエラーをトラップできるはずです。可能であれば、そのスタイルの検証は避けたいと思います。 何か案は？前もって感謝します。

30 domain  powershell  password 

「ハッカー」がWebサイト管理者からパスワードを学習して再試行する最近のイベントを考えると、パスワードに関してはベストプラクティスについて誰に何を提案できますか？ サイト間で一意のパスワードを使用する（つまり、パスワードを再使用しない） 辞書にある単語は避けてください 英語以外の言語の単語やフレーズの使用を検討する パスフレーズを使用し、各単語の最初の文字を使用する l33tifyingはあまり役に立ちません もっと提案してください！

30 security  password