<br><br><div class="gmail_quote">2008/1/22 Mikkel L. Ellertson <<a href="mailto:mikkel@infinity-ltd.com">mikkel@infinity-ltd.com</a>>:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">Aldo Foot wrote:<br>><br>> Well, the scenario I described actually happened years ago to someone I<br>> knew.<br>> If I create keys without a passphrase, and share the public keys between<br>
> two systems (A and B), then from system A I can log to system B by<br>> simply saying "ssh user@B". This is very convenient for cron jobs.<br>><br>> This is particularly risky when the systems are accessed by the general
<br>> public.<br>> How does someone finds out the username? I don't know... company phonebook,<br>> online profiles listing first/lastname, etc.<br>><br></div>You do know that you first have to get the private key of the key
<br>pair, right? So you have to crack user@A's account, at least to the<br>point of getting the private key. Remember, the key will not work<br>unless it is only readable by the user. The .ssh directory also<br>needs to be set this way. So just being able to log into machine A
<br>is not enough. You also need access to the private key.<br></blockquote><div><br>You are correct. My worst nightmare does not include stealing the private<br>key. But simply cracking into a user's account who has access to several
<br>systems containing the keys. <br><br>Worst scenario is when someone brakes into a system gains root access<br>and does "su - user" to such account and by looking into the .shosts tries <br>his luck to other systems. 
<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>But even having a pass phrase does not help if someone uses dumb<br>passwords. Things like first name as user name, and last name as
<br>password. Then they use their full name as the pass phrase on the<br>key. Or is machine B lets you ssh in using username/password, and<br>you have a user like this. The key is to use the tools responsibly.</blockquote>
<div><br>Bingo!  There lies my problem.<br><br>Perhaps a good practice is to configure accounts such as those for<br>cron jobs to use only specific commands. <br>Does anyone reading this thread uses such setup?<br>I'll play with this a bit.
<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br><div><div></div><div class="Wj3C7c"><br>Mikkel<br>--<br></div></div></blockquote>
</div><br>