Вовремя я стал на bitbucket переезжать.

Вовремя я стал на bitbucket переезжать.

Если ты не осилил gitignore, то без разницы куда уезжать.

Показательно:

Languages

    7 Perl
    1 PHP

т.е. с java ни одного гения, а кол-во на перле их отчегото больше

Причем здесь битбакет?

Не сразу разобрался в чем дело, думал опять нашли дыру в github`е.

И причем тут гитхаб? ССЗБ.

И причем тут гитхаб? ССЗБ.

При том, что это происходит на нем? :)

так написано, как будто это они виноваты.

тут надо писать не «веселье в гитхабе», а «идиоты в гитхабе».

а на кой хрен загружать приватные ключи?

тут надо писать не «веселье в гитхабе», а «идиоты в гитхабе».

Странно у тебя как-то с пониманием.
Имхо и то и то прекрасно подходит.

Просто идиоты грубо как-то, бэ.

а на кой хрен загружать приватные ключи?

Как на кой. Это как девственницы нагибаются с разрезами до живота перед парнями.

Вообще-то, если смотреть по репозиториям, то там и сишники, и джависты.

Сходил бы по ссылке, не нёс бы такого бреда.

рубистов ещё много и питонщиков.

А большая часть просто идиотов, который без разбора «бекапят» на гитхабе ~/.*

Это здесь уже было? В Китае заблокирован GitHub

Ссылки на все ключи (не сами ключи!)

#!/bin/bash
for n in {1..44}
do
        wget -O - "https://github.com/search?p=$n&q=path%3A.ssh%2Fid_rsa&ref=searchresults&type=Code" | grep -Eo "\".*?/.ssh/id_rsa(\.pub)?" | sed -e 's/^.\{1\}//' |  sed s/^/"https:\/\/github.com"/ >> key_links.txt
done

key_links.txt можно скормить wget'у

P.S. Использовать только в целях ознакомления, не было ли утечки ключей из проектов, с которыми вы каким-либо образом связаны.

О, спасибо :)
Правда мне не нужны, у меня своих ключей целые папки.

руки битбакет не выравняет

Ссылки можно скормить сюда:

#!/bin/bash
file=$1;
while read -r line; do
    raw=`echo $line | sed 's/tree/raw/g'`;
    echo "download  $raw";
    save_file=`echo $line | awk 'BEGIN { FS = "/"; } { print $4 "_" $5 "."$9 }'`;
    echo "Download $save_file";
    wget -qO $save_file $raw
done < $file;

./grab_keys.sh key_links.txt

DSA туда же https://github.com/search?p=1&q=path:.ssh/id_dsa&ref=searchresults&am...

Правда мне не нужны, у меня своих ключей целые папки.

А зачем они нужны (ключи с чужих компутеров)? Его ведь вроде не на своём компутере использовать нельзя?

Его ведь вроде не на своём компутере использовать нельзя?

ЩИТО?

Да кстати.
Самое интересно не то, что там полно тупых виндятлов которые оставили свои ключики.

Куда забанее, что там есть пара людей которые знали, что у них там паблик ключи и это не безопасно.
И что же они сделали?
Правильно! Они удалили ключи и сделали коммит :D

Льзя что-ли? Вот сюрприз. Был лучшего мнения об всех этих rsa/dsa. Так что, когда он просит ввести passphrase, это не шутка?

Вообще-то [:|||:] https://www.google.com/search?q=site:pastebin.com BEGIN RSA PRIVATE KEY

Смысла тогда не понимаю в этих rsa/dsa. Это всё равно что пароль на бумажке записать получается.

Был лучшего мнения об всех этих rsa/dsa.

Я чаем подавился.

Ты это серьёзно?

man Криптосистема с открытым ключом

Понятия не имею, как они работают. Всегда думал, что если секурити специалисты, например в моей компании, дают доступ по ssh извне, они понимают что делают.

Так или иначе этот тред о человеческой глупости.
К принципам функционирования rsa/dsa ключей он не имеет никакого отношения.

Так или иначе этот тред о человеческой глупости.
К принципам функционирования rsa/dsa ключей он не имеет никакого отношения.

Видя это, у меня два вопроса возникло:

1. Каким образом содержимое .ssh стало доступным по http?

2. Зачем нужен чужой приватный ключ?

Без знаний принципов работы гитхаба и rsa/dsa ключей, теряюсь в догадках.

1. ВНЕЗАПНО .ssh залили сами пользователи в свой репозиторий

https://github.com/eMxyzptlk/configs здесь чувак вообще свой хомяк уже два года держит (или держал)

2. Чтобы получить доступ к чужим компам/проектам (конечно, нужно знать, куда этот ключ подходит, или пробовать методом тыка)

https://github.com/eMxyzptlk/configs здесь чувак вообще свой хомяк уже два года держит (или держал)

Но у него с самого начала все лежит как положено, ничего не вытащищь.

На самом деле гитхаб здесь «виноват» в одном: он не дает бесплатно приватных репозиториев. На битбакете люди бы просто создали приватный репозиторий, а на гитхабе им жалко 5 баксов в месяц на это тратить, вот и вышло что вышло.

А, чёрт, действительно. Хотя в более ранних коммитах всё-равно были файлы, которые нежелательно выкладывать в общий доступ, например конфиг ssh с указанными серверами (продакшн, development) и соответствующими юзерами. Но да, пример не такой яркий, как я предполагал.

Потому что за 9 баксов можно целую VDS взять, на которой развернуть GitLab. Не кажется ли, что $5 в месяц - это много для такой услуги?

1. Понял. Действительно смешно.

2. Не понял. Разве со своего аккаунта можно использовать чужой ключ? Какой он тогда приватный?

посмотрел - в ценниках минимальная цена 7$ за 5 приватных реп, когда многим хватает и одной. Не нужно, в общем.

Различай публичный и приватный ключи. Приватный - на то он и приватный, чтобы он был только у тебя. Как пароль.

А то, что некоторые ССЗБ слили свои приватные ключи в паблик - это исключительно их проблема.

Различай публичный и приватный ключи. Приватный - на то он и приватный, чтобы он был только у тебя. Как пароль.

Так я про это и толкую. Я же не могу положить чужой приватный ключ к себе в .ssh и получить доступ везде, где этот чужой положил свой публичный? Если нет, то тогда какая мне польза от его приватного ключа? Если да, то какой вобще смысл в этих ключах? Так да, или нет?

П.С. Прошу прощения за назойливость, но реально интересно стало. Потом, я не криптолог, но ssh использую 100% рабочего времени, причём имею доступ к закрытой информации в компании. Очко жмёт немного.

Я же не могу положить чужой приватный ключ к себе в .ssh и получить доступ везде, где этот чужой положил свой публичный?

Можешь.

Если да, то какой вобще смысл в этих ключах?

Можешь считать их оххххренительно огромным паролем, который на сегодняшнее время крайне трудно (на практике - можно считать, что невозможно) взломать. Зато авторизация происходит легко, ненавязчиво и без необходимости постоянно вбивать пароль.

Как и пароль, ты должен хранить свой приватный ключ в надёжном месте, и следить, чтобы никто не имел доступа к твоему каталогу ~/.ssh

Можешь.

Спасибо, шаблон порван на клочки.

Как и пароль, ты должен хранить свой приватный ключ в надёжном месте, и следить, чтобы никто не имел доступа к твоему каталогу ~/.ssh

В панике побежал проверять, везде drwx------. Пойду, валерианочки выпью.

А что, если админ сдаст? У него ведь root?

А что, если админ сдаст? У него ведь root?

Какой админ? Твой приватный ключ должен хранится только у тебя на машине, локально.

На удаленные сервера ты кладешь публичный ключ.

Какой админ? Твой приватный ключ должен хранится только у тебя на машине, локально.

Мою локальную машину обслуживаю не я, а специальный админ (как шофёр, типа). У меня нету рута, рут есть у него.

На удаленные сервера ты кладешь публичный ключ.

По роду работы, с удалённых серверов нужен доступ на другие удалённые сервера. И на каждом заправляет специальный админ.

Мою локальную машину обслуживаю не я, а специальный админ (как шофёр, типа). У меня нету рута, рут есть у него.

Приватный ключ можно защитить паролем и потом разблокировать вводя пароль один раз за сеанс работы(а можно и каждый раз при обращении к ключу - для настоящих параноиков). Тогда даже если его сопрут - пока не сбрутят пароль - ключ будет бесполезен

По роду работы, с удалённых серверов нужен доступ на другие удалённые сервера. И на каждом заправляет специальный админ.

Для этого не нужно хранить на этих удалённых серверах закрытый ключ.

ССЗБ же

Приватный ключ можно защитить паролем и потом разблокировать вводя пароль один раз за сеанс работы

Сеанс работы, это типа промежуток времени между login/logout?

(а можно и каждый раз при обращении к ключу - для настоящих параноиков).

А не логичнее ли для настоящих параноиков просто вводить пароль каждый раз, без всяких ключей?

П.С. Ох, как они уже задолбали, эти пароли.

Для этого не нужно хранить на этих удалённых серверах закрытый ключ.

На том удалённом сервере, с которого нужен доступ к другому удалённому серверу, нужно же. Например, в моём случае это вычислительный кластер, и cvs репозиторий.

нужно всех забанить из этого списка