Özel anahtar dosyayı birden fazla bilgisayar / hizmet arasında paylaşmak uygun mudur?


110

Bu yüzden hepimiz SSH vb. Kullanarak genel anahtar / özel anahtarların nasıl kullanılacağını biliyoruz. Fakat bunları kullanmanın / yeniden kullanmanın en iyi yolu nedir? Onları sonsuza dek güvenli bir yerde mi saklamalıyım? Yani, GitHub'a erişmek için bir çift anahtara ihtiyacım vardı. Sıfırdan bir çift yarattım ve bir süre GitHub'a erişmek için kullandım. Sonra HDD'mi formatladım ve o çifti kaybettim. Büyük anlaşma, yeni bir çift oluşturdum ve GitHub'ı yeni çiftimi kullanacak şekilde yapılandırdım. Yoksa kaybetmek istemediğim bir şey mi?

Ayrıca şirket sistemimize erişmek için bir çift ortak anahtara / özel anahtara ihtiyacım vardı. Yöneticim benden açık anahtarımı istedi ve yeni bir çift oluşturdum ve ona verdim. Farklı sistemlere erişim için yeni bir çift oluşturmak daha mı iyidir yoksa bir çifte sahip olmak ve onu farklı sistemlere erişmek için yeniden kullanmak daha mı iyidir? Benzer şekilde, iki farklı çift oluşturmak ve birini şirketlerimizin sistemlerine evden diğerine erişmek için kullanmak, sistemlerden işten erişmek için daha mı iyidir yoksa sadece bir çiftin olması ve her iki yerden de kullanılması daha mı iyidir?


Bu doğrudan sorunuza bir cevap değildir, ancak her bir anahtar için de parola bulunması önerilir. İdeal olarak, her anahtar için ayrı ayrı parolalar (bir parola yöneticisi kullanın). Sebep şu şekildedir: Eğer özel bir anahtar tehlikeye atılırsa (dizüstü bilgisayar çalındı, bilgisayar çöktü), o zaman anahtarın kaba bir şekilde zorlanabilmesi için biraz zamanınız var ve sahip olduğunuz tüm makinelerin genel anahtarını değiştirebilirsiniz. , saldırganın yapmasından önce. Kaynak: help.ubuntu.com/community/SSH/OpenSSH/…
Xandor Schiefer

Yanıtlar:


86

Menşe başına kesinlikle ayrı özel anahtarlara sahip olmalısınız . Temel olarak bu, her bir özel anahtarın tek bir kopyasının olması gerektiği anlamına gelir (yedekleri saymamak). Aynı özel anahtarı, yakından ilişkili bir makineden kullanmak, tamamıyla bir tanesine zorla girmenin diğerine erişim sağladığı durumlarda (örneğin, birbirlerinin içindeyse shosts.equiv). Farklı alanlarda makinelerde aynı özel anahtarı kullanmayın (örneğin ev ve iş), iki kullanıcı arasında hiçbir zaman özel bir anahtar paylaşmayın ve bir dizüstü bilgisayar ile başka bir makine arasında hiçbir zaman özel bir anahtar paylaşmayın.

Çoğunlukla, farklı yerler için farklı özel anahtarlara sahip olduğumu anlamıyorum. Özel bir anahtarın güvenliği ihlal edilirse, aynı dizinde depolanan tüm diğer özel anahtarlar da kesinlikle tehlikeye girer, bu nedenle güvenlik avantajı sağlamayacağınız bir komplikasyon olabilir.

Bu ilkeleri izlerseniz, her bir anahtar çifti yetkilendirme yönetimini kolaylaştıran bir (makine, kullanıcı) çifti tanımlar.

Menşe başına tek bir özel anahtarın genel kuralına ilişkin iki istisna olduğunu düşünebilirim:

  • Belirli bir makinedeki yalnızca belirli bir komuta erişim sağlayan parolasız bir anahtarınız varsa (örn. Otomatik bir yedekleme veya bildirim mekanizması), bu anahtar genel kabuk erişim anahtarından farklı olmalıdır.
  • Bazı makineler aralıklı olarak bağlanırsa, yeni anahtarı dağıtmayı bitirene kadar yeni bir özel anahtarın yanında eski bir özel anahtara sahip olabilirsiniz.

5
Bu şekilde her zaman tuş takımımı kullandım. GitHub’ın neden kurulum talimatlarında yeni bir keypair oluşturmayı savunduğunu anlamadım. Bunu görmezden geldim ve standart tuş takımımı kullandım. Muhafazakar olduklarını varsayıyorum.
toolbear74

Tamam, "Farklı özel alanlardaki makinelerde aynı özel anahtarı kullanma" diyorsunuz, ancak DNS konumunuza bağlı olarak belirli bir ana bilgisayar adını her iki makineye de çözerse ne olur? Özel anahtarı paylaşmadan, bu ana bilgisayar adına ssh veya rsync yapmaya çalıştığımda uyarılar veya hatalar alıyorum, çünkü ssh aynı ana bilgisayar adı için iki ayrı anahtara sahip olmakla karıştı.
Michael

@Michael Anlattığınız senaryoda , kullanıcı anahtarlarında ne gibi bir sorun yaşayabileceğinizi anlamıyorum , bu konu hakkında. SSH, ana bilgisayar anahtarları konusunda şaşırır, ancak bir kullanıcı olarak ana bilgisayarın ortak anahtarıdır, ana bilgisayarın özel anahtarı değil ve bir ana bilgisayarın özel anahtarını paylaşmak tehlikelidir - yalnızca ana makinelerin tamamen eşdeğer olması durumunda (artıklık) bunlardan birinin başarısız olması durumunda), ve muhtemelen o zaman bile.
Gilles

Ah tamam. İkisi arasında çok belirgin bir ayrım yok gibi görünüyor ve hangisinin konuştuğunu bildiğiniz varsayılıyor.
Michael,

1
@JSBach Her bölge için ayrı anahtarlara sahip olmak, daha hassas taneli izinler tanımlamanıza olanak sağlar (düşük güvenlikli bölge A'da depolanan anahtar, A'nın makineleri arasında kullanılmasına izin verilir, ancak B'ye giriş yapılması daha güçlü bir kimlik doğrulama faktörü gerektirir) ve bunları iptal etmenize izin verir ayrı ayrı (bölge A tehlikeye atıldı, ancak hala B'den C'ye giriş yapabilirim). SSO, en yüksek güvenlikli sisteme giriş yaptığınız durumdadır ve daha sonra başka bir yerde giriş yapabilirsiniz. Kullanıcı başına birden çok anahtara sahip olma riskini gördüklerini bilmiyorum. Bu Bilgi Güvenliği için bir konudur .
Gilles,

4

En iyi yolun ne olduğunu bilmiyorum ama yolumun hangisi olduğunu söyleyebilirim.

Bir sysadmin olarak her sunucuya / servise kök olarak erişmek için farklı bir anahtar kullanıyorum. Bu şekilde, bir anahtar kaybolursa veya tehlikeye atılırsa, riski tek bir sunucu ile sınırlandırırım ve tüm hizmetlerimi yepyeni anahtarlarla güncellememe gerek yok.

Kullanıcılardan bahsetmişken, her biri için farklı bir anahtar kullanıyorum. Bu anahtarla, kullanıcı ayrıcalıklı bir kullanıcı olarak ihtiyaç duyduğu servise erişebilir. Bu şekilde, her bir kullanıcıya tek bir hizmete erişimi kolayca verebilir veya iptal edebilirim. Kullanıcının anahtarını gevşetmesi durumunda tüm servislerden silebilir ve yetkisiz erişim riskini sınırlayabilirim.


+1 Patronumla yeni bir anahtar kullanım politikası hakkında konuşacağım ;-) sunucu / servis başına sadece ağ başına çok daha güvenli geliyor
Diskilla

1

Özel anahtarı bir parola koyduğunuz sürece herhangi bir yerde kullanabileceğinize inanıyorum, yani özel anahtarınızı birkaç makineyle paylaşmak isteyip istemediğinizi söylemek gerekir, dizüstü bilgisayar 1, 2, masaüstü 1, 2'nin iyi olması gerektiğini söyleyin.

Tecrübelerime göre, ana makinem iş yerimin çoğunu güçlü işlemcisi ile yaptığım masaüstümdür, ancak zaman zaman dizüstü bilgisayarımı mobil cihazlarda kullanmam, veri merkezindeki sorunları gidermem gerekiyor, bu yüzden herhangi bir ana makineye giriş yapabilirim. Genel anahtarımın içinde bulunduğunu


1
Buradaki en iyi cevabı okuyun. Yanlış yapıyorsun. Bu şekilde yapamazsın ama yapmamalısın.
PhilT

2
Neden tüm aşağı oylarını göremiyorum. Üniversite ağlarında (örneğin) genellikle ağa bağlı bir ev dizini bulunur, bu nedenle aynı özel anahtar size verilen dizüstü bilgisayarlarda bile bir kullanıcı tarafından her yerde kullanılır. İnternet üzerinden şifrelenmemiş kopyalanmadığınız sürece, riski anlarsanız sorun değil. Kanlı, bu şekilde daha rahat, farklı bir makineye giriş yapmış olduğunuz için ortak anahtarınızı 2.000 farklı yere eklemeniz gerekmiyor.
Asfand Qazi

Bu cevap için rep kaybetmemeniz gerektiğine göre olumlu oy verildi. Her bir hizmet için ayrı bir anahtar ve makine kullanılması açıkçası kişisel tercih, sonuçta size daha fazla kontrol sağlar, ancak bazen kullanım durumunuza bağlı olarak sadece zaman kaybı olur.
Daniel Dewhurst

0

Şirketimde bu Keys kullanıcısına özel kullanıyoruz. Bu ikinci durumda demek. Kullanıcının kendi anahtarı vardır ve bu, şirket sistemine bağlanmak için kullandığı her makine için kullanılır. Bence bir sistem için bir anahtar kullanmak. Bu, belirli bir ağa bağlamanız gereken her makinede bu anahtarı kullandığınız anlamına gelir. Sizin durumunuz için bu GitHub için bir anahtar ve şirket sistemi için bir anahtar olacaktır. Bu yüzden, eğer yöneticiniz size tekrar sorarsa, ona geçen seferki gibi aynı anahtarı veririm. yeni bir tane değil. Ancak, bu anahtarlar için ortak bir kullanım politikası olup olmadığını bilmiyorum ve o zamandan beri yanlış yapıyorum. Bu kesinlikle mümkün ;-)


0

Oluşturduğunuz ortak anahtar herkes içindir. A) Kimlik doğrulamasını kontrol etmelerini sağlar b) Sizin için şifrelemek

Özel anahtar, özeldir. Sadece senin için. Güvenli bir yerde, bir yerde yedeklemeniz gereken anahtardır. Örneğin, bir USB belleğe kaydederseniz güvenli bir parola ile de şifreleyebilirsiniz.

Açık anahtar, başkalarına karşı sizin kimliğinizdir. Bu yüzden hiçbir sorun yok / her şey için bir anahtar çifti kullanmak en iyisidir, en azından açık bir yeni kimlik kullanmak istemediğiniz zaman, başkaları onun siz olduğunu bilmeyecektir.


3
Teşekkürler, ama cevabınız çoğunlukla sorumla ilgisiz. @ Diskilla'nın cevabına bakınız.
Behrang,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.