Aynı özel ssh anahtarını birden fazla bilgisayarda kullanmak kötü bir fikir midir?


35

Geçenlerde masaüstümden yaptığım aynı uzak ana bilgisayarlara erişmem gereken bir dizüstü bilgisayar satın aldım. Özel anahtar dosyasını masaüstümden dizüstü bilgisayarıma kopyalamanın ve ~/.ssh/authorized_keyserişmek istediğim tüm ana bilgisayarlardaki dosyalara yeni bir anahtar eklemekten kaçınmanın mümkün olabileceği aklıma geldi . Yani benim sorularım:

  1. Bu mümkün mü?
  2. Açıkça görülmeyen herhangi bir güvenlik çıkarımı var mı?
  3. Bazen dizüstü bilgisayarımdan masaüstüme giriş yaparım. Aynı anahtarı kullanıyor olsaydınız, bu herhangi bir soruna yol açar mı?

2
Sanırım yetkili kimliği değil, yetkili kastlarından bahsediyorsun. İlki gelenler içindir, ikincisi gidenler içindir.
Matthew Schinckel

İyi yakalama. Sabit.
Jason Creighton

Yanıtlar:


29

Evet, bu mümkün. Özel anahtarınız tek bir makineye bağlı değil.

Açıkça neyi kastettiğinizden emin değilim, bu genellikle özneldir;). En azından 20 karakterden oluşan çok güçlü bir parola kümeniz olduğundan emin olmanız hiç de fena bir fikir değil.

Masaüstünüzle aynı anahtarla bağlanma konusunda hiçbir sorun yok. Anahtarınız için dizüstü bilgisayar için bir ssh aracı kurardım ve aracıyı masaüstüne iletirdim, böylece o anahtarı oradan eriştiğiniz diğer sistemlerde kullanıyor olacaksınız.

Bir Linux sistemindeki ssh-agent man sayfasından:

ssh-agent, genel anahtar kimlik doğrulaması için kullanılan özel anahtarları tutan bir programdır (RSA, DSA). Buradaki fikir, ssh-agent'ın X oturumunun veya bir oturum açma oturumunun başlangıcında başlatıldığı ve diğer tüm pencerelerin veya programların ssh-agent programına istemci olarak başlatıldığıdır. Ortam değişkenlerini kullanarak aracı, ssh (1) kullanarak diğer makinelere giriş yaparken doğrulama için yerleştirilebilir ve otomatik olarak kullanılabilir.

Bunu dizüstü bilgisayarınızda, Linux / Unix'teki ssh-agent programı (OpenSSH ile birlikte gelir) veya Windows kullanıyorsanız puTTY ajanı ile çalıştırabilirsiniz. Herhangi bir uzak sistemde çalışan ajana ihtiyacınız yoktur, yalnızca yerel anahtardaki özel anahtarınızı bellekte tutar, böylece anahtarı araca yüklemek için yalnızca bir kez parolanızı girmeniz gerekir.

Ajan iletme, ssh istemcisinin ( sshveya macunun), aracı ssh bağlantısı üzerinden diğer sistemlere aktarmasına yardımcı olan bir özelliktir .


1
Ssh agent yönlendirme konusunda ne önerdiğini anlamıyorum. Bu noktada biraz detay verebilir misiniz? Dizüstü bilgisayarımı kullanmam gerektiğinde masaüstünde her zaman erişilebilir olabileceğimi belirtmem gerekir.
Jason Creighton

Cevap güncellendi :)
jtimberman

10

Tüm makinelerimde tek bir özel anahtar kullandım (bazıları ise yönetici değil kullanıcı olduğum için), ancak bunu değiştirdim. Bir anahtara sahip olarak çalışır, ancak anahtarı iptal etmeniz gerekirse (tehlikede ise), tüm makinelerde değiştirmeniz gerekecektir.

Elbette, eğer bir saldırgan erişirse ve başka bir makineye girebiliyorsa, anahtarı o makineden alabilir, vb. Ama bana sadece bir anahtarı iptal edebileceğimi ve makineyi kilitleyeceğimi bilmek biraz daha güvende hissettiriyor. Bu, anahtarı olsa yetkili_ dosyadan çıkarmam gerektiği anlamına geliyor.


Eski bir gönderiyi geri aldığım için üzgünüm, ancak özel anahtarınızı bir şifreyle şifreleyerek bunun azaltılacağını düşünüyor musunuz? Ya da senin durumunda, şifre de tehlikeye atıldı mı?
üçüncü kişi

1
Muhtemelen, anahtar üzerinde bir parola bulunduğunda hafifletilecektir. Gerçekte gerçekte, muhtemelen ssh yönlendirme (bir aracı kullanarak) kullanabilir ve sonra kullandığınız her gerçek makine için yalnızca bir tuşa sahip olabilirsiniz ve şifre korumalıdır.
Matthew Schinckel
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.