Aynı SSH sunucu anahtarlarına sahip birden fazla cihaza sahip olmak ne kadar kötü?

FreeBSD ve SSH çalıştıran gömülü bir cihaz üzerinde çalışıyorum.

Bildiğiniz gibi, sshd ilk başlatıldığında rasgele bir dizi sunucu anahtarı oluşturmayı seviyor. Sorun şu ki, ürünü salt okunur bir sd kart dosya sistemiyle (pazarlık dışı) gönderiyoruz.

Gördüğüm gibi iki seçeneğim:

• Tüm cihazlarda aynı sshd server anahtarlarını gönderin
• Bir bellek dosya sistemi kurun ve her açılışta sunucu anahtarlarını oluşturun (yavaş ...)

Tüm cihazlarda aynı sunucu anahtarlarını göndermek büyük bir güvenlik sorunu mu? Bu öğeler doğrudan internette olmayacak. Bazen aynı kişinin ve aynı ağın sahip olduğu birden fazla cihaz olacaktır.

Cihaz çoğu zaman internete bağlı olmayacaktır.

SSH ile giriş yapmak normal çalışmanın bir parçası değildir. Çoğunlukla programcıların ve teknisyenlerin rahatlığı içindir. Müşteriler SSH ile cihaza giriş yapamayacaklar.

Birden fazla donanım aygıtında aynı sunucu anahtarlarını kullanmanın sonuçları nelerdir?

PS birisi lütfen bir şeylerin interneti etiketi oluşturabilir mi?

EDIT : Tüm hostlara (cihazlar) aynı host private anahtarlarını kurmaktan bahsediyorum. Kullanıcının genel / özel anahtarlarına gelince, şu anda anahtar tabanlı giriş yapma planı yoktur - şifre girişi olur. Yine, tüm sunucularda (cihazlarda) aynı şifre.

Bunun muhtemelen kötü bir fikir olduğunu biliyorum. Nedenini tam olarak kötü bir fikir olduğunu bilmek isterdim, böylece takasları anlayabiliyorum.

SD kartta ssh ana bilgisayar anahtarları veya diğer salt okunur ortamlar gibi ana bilgisayara özgü verileri depolamak yerine, bunu gömülü bir sistemde olduğu gibi NVRAM'da saklayabilirsiniz. Anahtarları önyükleme sırasında saklamak ve almak için bazı özel komut dosyaları yapmanız gerekir, ancak komut dosyaları her aygıt için tam olarak aynı olacaktır.

Aynı anahtar çiftini tüm cihazlarınızla göndermenin etkisi, doğrudan kendilerine bağlanan müşterilerin güvenliği ile ilgilidir, çünkü (SSH istemcisinden) bağlanabileceği cihazı benzersiz bir şekilde tanımlamanın bir yolu yoktur. Anahtar çiftiniz sızdırılmışsa, MITM saldırıları için kullanılabilir.

Öte yandan, her önyüklemedeki anahtarları yeniden oluşturmak istemcilere de uyarı verir.

Başvuru için man ssh(1):

sshhiç kullanılmamış tüm ana bilgisayarlar için kimliğini içeren bir veritabanını otomatik olarak tutar ve denetler. Ana bilgisayar anahtarları ~/.ssh/known_hostskullanıcının ana dizininde saklanır . Ek olarak, dosya /etc/ssh/ssh_known_hostsbilinen ana bilgisayarlar için otomatik olarak kontrol edilir. Yeni ana bilgisayarlar otomatik olarak kullanıcının dosyasına eklenir. Bir ana bilgisayarın kimliği hiç değişmezse, sshbu konuda uyarır ve şifrelemeyi atlatmak için kullanılabilecek sunucu sahtekarlığını veya ortadaki adam saldırılarını önlemek için parola doğrulamayı devre dışı bırakır. Bu StrictHostKeyCheckingseçenek, ana bilgisayar anahtarı bilinmeyen veya değiştirilmiş makinelere girişleri kontrol etmek için kullanılabilir.

İlk seçenekte olduğu gibi geliyor, SSH tuşları SD kartta mevcut olacak. Böylece herhangi bir kullanıcı kartı alabilir ve okuyabilir. Yani temelde özel anahtarlarınız (çoğunlukla) herkese açık hale geldi.

Bu, aşağıdaki gibi, ortadaki adam saldırılarına izin verecektir:

1. Bir kullanıcı, cihazınızdan alınan özel anahtarlarla bir SSH sunucusu kurar ve bu IP adresini teknisyeninize verir.
2. Teknisyeniniz kök şifreyi SSH bağlantısı üzerinden giriyor.
3. Kullanıcı artık tüm cihazlarınız için geçerli olan kök şifresini biliyor.

Ancak, ilk başta kök parola kullanmamalısınız, bunun yerine kimlik doğrulama için ssh anahtarlarını kullanın. Sonra paylaşılan sunucu tuşlarının etkisi oldukça küçüktür eğer sadece bir LAN oturum.

SSH ayrıca ileri gizlilik sağlar, bu nedenle saldırganın anahtarlardan yararlanmak için sahte bir sunucu kurması gerekir; trafiğin pasif olarak kokutulması şifresini çözmek için izin vermeyecektir.

Bunu dehşet içinde okudum! Aynı kümede aynı ssh ana bilgisayar anahtarına sahip birden fazla makine yapmış olan bunu asla yapmaya cüret edemem. Hiçbir koşulda, farklı yönetici grubuna sahip makinelerin ssh ana bilgisayar anahtarlarını paylaşmasına izin vermeyin. Bu şekilde, güvenlik eksikliğinizden haberdar olduğunuzda delilik ve çığlık atan korku yatmaktadır.

Bakın size gerçeği söyleyeyim, bir cihazı tehlikeye atan herkes hepsini tehlikeye atıyor. Bir kere edinildikten sonra, kötü insanların istediklerinde birbirlerinden diğerine atlamasını bekleyin ve güvenlik sanki ince bir kağıtmış gibi geri döndü.

SSH erişiminin son kullanıcı / müşteri tarafından kullanılmadığından bahsettiğinizden, SSH erişimini varsayılan olarak kapatmak ve yalnızca cihaz "hata ayıklama" moduna geçirildiğinde geçici olarak etkinleştirmek isteyebilirsiniz.

Ardından, "debug" modunu koruduğunuzu varsayarak tüm cihazlara aynı anahtarla gönderebilirsiniz, böylece cihazı kesmeye çalışan bir kişi tarafından uzaktan tetiklenemez.

Veya cihaz "hata ayıklama" moduna geçtiğinde yeni bir anahtarınız olur; bu nedenle, her açılışta anahtarları üretmek için önyükleme zamanı harcamak zorunda kalmazsınız.

İşte sahip olduğunuz kısıtlamalara dayanan örnek bir saldırı senaryosu:

Cihazlarınız varsa, örneğin bir Ahududu Pi söyleyin. SD kartı birinden yukarı çekip çıkarabilirsem, SD kartı kendi bilgisayarıma sokabilir, sshd anahtarını bulabilir ve istediğim her yere kopyalayabilirim. Belki kendi ahududu pi'm ve bir USB ethernet kartımı alıyorum. Şimdi bunu bir hedef cihaz arasına ve nereye gittikleri her yere sokabilir ve ssh bağlantılarını izleyebilirim. Hedef cihazın ssh bağlantısı kurmaya çalıştığını gördüğümde, şunu yapıyorum:

(target) <---> (my evil sshd <--> decrypted traffic <--> ssh) <---> (real server)
                                       |
                                       V
                                    log file

Ah o ne? Şifreniz "kedileri severim" mi? Evlat, bu karına gönderdiğin ilginç bir e-posta. Bahse girerim yan komşularınızın karısına gönderdiğiniz bu e-postayı okuması daha da ilginç olurdu.

Olasılıklar sonsuzdur . Ve hedef asla bilemez, çünkü sshd anahtarı gerçek sunucuda bulunanla aynıdır. Cihazınızı alan tesislerin fiziksel güvenliğine bağlı olarak, bu inanılmaz derecede önemsiz olabilir . Bunu yapma

Bunun yerine, teklif ettiğin şeyi yap ama düzelt . Resminizi yazmadan önce şöyle bir şey çalıştırın:

ssh-keygen -f some-new-server
cp some-new-server /path/to/the/mounted/image/sshd/key
cp some-new-server.pub /path/to/the/mounted/image/sshd/key.pub

Ve şimdi her sunucunun yeni bir anahtarı var. Çünkü sen gerçekten, gerçekten bir anahtarın kopyalarını dağıtmak istemiyorsun. Dürüst olmak gerekirse, en azından ev anahtarlarınızın bir fotoğrafını çekmek ve ev adresinizle internete yüklemek kadar kötü.