Сказано в Настройка NoMachine NX и Статья по настройке FreeNX ubuntu что использование SSH-ключа по умолчанию для сервера NX плохо для безопасности. Насколько это плохо?
Может ли SSH-ключ по умолчанию один и тот же для всех пользователей NX в мире, и каждый может войти на сервер NX, который использует ключ по умолчанию?
Только «серверный» и «клиентский» процессы NX используют специальную учетную запись пользователя с именем «nx». Эти учетные записи служат для настройки начальный этап подключения и используйте указанную вами пару ключей, и это все перед происходит реальный вход пользователя. Этот ключ НЕ используется для входа в систему реального пользователя сеанса NX.
После завершения этого начального этапа существует безопасный зашифрованный канал. Затем именно этот зашифрованный канал (установленный с помощью SSH-ключа NX по умолчанию) используется для настоящий Логин пользователя.
Следовательно, с только зная ключ SSH по умолчанию, никто не может войти на сервер NX. Он может только начать начальную фазу «рукопожатия», а затем застревает.
Это похоже на то, как если бы вы вошли на сервер HTTPS, который выскочил бы диалоговое окно имени пользователя + пароля ... [И вы считаете это особенно небезопасным: появляется диалоговое окно пароля перед логин пользователя HTTPS завершен?]
Конечно, для теплого ощущения дополнительный безопасности, вы можете создать свой собственный ключ и заменить ключи NX / NoMachine по умолчанию - лучше всего, если вы создадите отдельную пару ключей для каждого отдельного сервера NX. Хммм .... этот известный пользователю ключ (и) вы должны раздать всем пользователям ваших соответствующих серверов NX. И теперь вы должны начать выполнять дополнительную административную работу по управлению всеми ключами для различных серверов NX. Дополнительная безопасность связана с дополнительной работой ....
Зависит от того, что ты хочешь. Если вам просто нужна безопасность транспорта, ключей по умолчанию достаточно. Если вам нужна аутентификация пользователя, вам следует не только использовать пользовательские ключи, но и разрешать вход только с авторизованных ключей. Это разные проблемы.
Насколько мне известно, когда вы устанавливаете NoMachine, он генерирует ключ так же, как пакет openssh-server, поэтому я не считаю, что это проблема.
Я давно не использовал FreeNX, поэтому, если он на самом деле просто использует связанный ключ вместо его генерации, то, очевидно, это не самая безопасная вещь в мире, и я бы сгенерировал новый.
При установке сервера FreeNX во время установки создается пользователь с именем nx. Если вы придерживаетесь ключа SSH по умолчанию, любой, кто знает имя хоста или IP-адрес вашего компьютера, сможет войти на ваш сервер как пользователь nx с ключом SSH по умолчанию.
Это особый риск, если ваш компьютер доступен из Интернета, поэтому вам следует создать свой собственный ключ SSH, используя инструкции в нижней части Статья Ubuntu.