Her sistemde yeni bir özel ssh anahtarı oluşturmalı mıyım?

10

SSH aracılığıyla birden fazla cihazdan birden fazla sunucuya bağlanmam gerekiyor. Bağlandığım her cihazda yeni bir id_dsa dosyası oluşturmalı mıyım yoksa her bir cihaza aynı id_dsa dosyasını kopyalarken bir sorun yoksa merak ediyorum.

Örneğin, birincil Ubuntu tabanlı masaüstü sistemime ve ssh ile MacBook Pro'ya sahibim. Ve Putty yüklü Windows tabanlı bir Netbook var. Ve ConnectBot'lu bir Android telefonum var. Bu cihazların herhangi birinden düzinelerce farklı fiziksel ve sanal sunucuya SSH eklemem gerekebilir.

Her sunucunun ortak anahtarım yüklü olması gerekir. Ayrıca GitHub ve Codaset hesaplarım için ortak anahtarım gerekiyor.

Anahtar yönetimini basitleştirmek için, tüm bu sistemlerde aynı özel anahtarı kullanmayı düşünüyorum. Bu yaygın uygulama mıdır, yoksa her sistemde özel bir anahtar bulundurmak daha mı iyidir?

security  ssh 
Tauren
kaynak

Yanıtlar:

3

Her sistemde aynı ortak anahtarı kullanırsanız ve özel anahtarın güvenliği ihlal edilirse, bu anahtarı kullanan ve diğer kısıtlamalara engel olan tüm sistemlere erişilebilir.

Şifre korumalı özel anahtarlar kullandığınıza inanıyorum.

Yönetim pratiğimizde düşük, orta ve yüksek güvenlikli “roller ”imiz var. Her rol farklı bir anahtar kullanır. Yüksek güvenlikli özel anahtarlar hiçbir zaman kaybolabilen / çalınabilen dizüstü bilgisayarlarda kullanılan harici varlıklara aktarılmaz. Orta ve düşük güvenlikli anahtarlar çok çeşitli senaryolarda dağıtılabilir.

Kullanım kalıplarınızı incelemenizi ve güvenlik rolleri açısından o zamandan beri neler yaptığını görmenizi öneririm. Özel anahtarınızı almanızın verdiği zarar nedir?

SSH özel anahtarınızı çalınamayacağı bir donanım aygıtına yerleştirmeyi ve anahtarın olası güvenliğini tehlikeye atmamayı düşündünüz mü?

Hem donanım güvenlik modülleri hem de akıllı kartlar, SSH özel anahtarlarını güvenli bir şekilde saklamak için kullanılabilir, böylece tüm şifreleme işlemlerinin işletim sistemleriniz yerine aygıtta gerçekleştirilmesini sağlar. Bununla birlikte, donanım arızası durumunda da yedek donanım aygıtları gerektirdiğinden her derde deva değildir.

jeffatrackaid
kaynak
Evet, anahtarlarım şifre korumalı. Cevabınız için teşekkürler. Tüm cihazlarımda aynı anahtarı kullanırsam, yolda daha büyük sorunlara yol açabileceğine dair endişemi doğruladınız.
Tauren
2

Kesinlikle yapmalısın. Tüm anahtarları her zaman yetkili_anahtarlar2 dosyanıza ekleyebilirsiniz. Jeffatrackaid'in önerisini seviyorum. Ancak, her cihaz için farklı özel anahtarlar kullanırım - neden olmasın. Android'inizi kaybedin. Basit, anahtarı yetkili anahtarlar listesinden çıkarın. Bunu yapmazsanız, o anahtar seviyesini yeniden oluşturmanız gerekir.

Bununla birlikte, bu varlıkların riskini nasıl algıladığınıza bağlıdır. Açıkçası anahtarları kaybetmek istemezsiniz, ancak bazıları daha büyük risklere maruz kalabilirsiniz, örneğin github vs vps'nizin köküne karşı.

FYI, authorized_keys22001'den beri kullanılmıyor - OpenSSH artık kullanıyor authorized_keys(yine de her iki dosyayı uyumluluk için okuyor olsa da)
user1686
Ah tamam teşekkürler. Ben her zaman SSHv1 ve düşük güçlü şifreleri vb devre dışı bırakma bir noktaya olun.
2

Debian'ın SSH anahtarları üretirken küçük bir entropi problemi olduğunu hatırlıyor musunuz? O zaman dersimi iyi öğrendim.

Kişisel sunucularıma girmek gibi kendi işlerim için kendi özel anahtarlarım var. Beni geliştirme kutularının çoğuna götüren "All Purpose" anahtarım var, sonra hizmet verdiğim istemci başına anahtarları kesiyorum.

Ayrıca, hangi makinelerde hangi tuşların bulunduğunun çok ayrıntılı bir listesini tutuyorum, sadece aceleyle değiştirmek veya çıkarmak zorunda kalsam.

Ciddi olan her şey için, aceleyle başka birini çıkarmam gerektiğinde sadece LDAP / PAM kullanıyorum .

Tim Post
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.