El Lunes, 10 de Marzo de 2008, Carlos E. R. escribió:
El 2008-03-10 a las 18:29 +0100, jose maria escribió:
* Es absurdo intentar conectar por ip a una ip dinamica, solucionalo con dyndns o similar y conectate a un FQDN, la forma mas segura es la conexion con laves RSA/DSA hay de varios tipos utiliza el que mas te convenga host,user, etc.
Pero la IP seguirá siendo dinámica.
* Evidente, pero no tendra que saberla ni averiguarla antes.
Desde el segundo que el dyndns te dice que el host que buscas tiene tal IP hasta el instante en que fisicamente se hace la conexión, la IP puede haber cambiado: sobre todo teniendo en cuenta que en muchos sitios se actualiza la info del dyndns por una tarea del cron cada diez minutos.
* Es que una autentificacion basada en know_hosts (cliente) no pinta nada contra un servidor con ip dinamica (de todas maneras dado que no tengo ip's dinamicas no sabria decir si know_hosts se quejaria, NO deberia la firma almacenada en el cliente pertenece al sistema no a la ip, creo que se puede editar y añadir opciones igual que a los ficheros de llaves) , ya se le dice que utilice par de llaves si quiere aumentar la seguridad, el robo de la clave privada que se ha comentado, solo procede al establecimiento del tunel cifrado y es poco relevante a menos que de contraseña, en la generacion del par, le ponga su fecha de nacimiento o nada, existiendo otras tecnicas de necesitar este ultimo caso, en cualquier caso se esta hablando de una conexion interactiva, no ubico el problema por que cuando se ha conectado, o le han clonado el sistema (con lo cual ssh y todo lo demas es el menor de los problemas) o con una leve mirada sabre si me he conectado a un sistema mio o no.