Soru SSH anahtarını yerel olarak eşlemek için yöntem


Bir süredir ssh anahtarlarımı kullanıyorum. Ssh anahtar çiftimi daha güçlü bir şifrelemeye yükseltmeyi düşünüyorum ve anahtarların kayıtlı olduğu tüm cihazları bilmiyorum.

Bu mümkün mü "Kullanımdan kaldırmak" Yerel olarak bir SSH Anahtarı, bir amortisman SSH Anahtarı ile kimlik doğrulaması yaparsam bir uyarı alırım?


9
2017-10-09 09:54


Menşei


Bu sırada, birden fazla ana bilgisayar için aynı SSH anahtarını kullanmayı bırakmanızı öneririm; Saldırı durumunda saldırı yüzeyini ve bu tuşun değerini gereksiz yere artırır. Bunun yerine, bağlandığınız her ana bilgisayar için bir anahtar kullanın; İdeal olarak, her istemci ve sunucu için bir anahtar kullanın çift (Ancak birçok sunucuya bağlanan çok sayıda istemci sisteminiz varsa bu ölçekler yetersizdir). Ayrıca, anahtar kelimeleri, üretim tarihiyle birlikte yorum veya anahtar adında etiketlemeyi ve bunların ne kadar eski olduklarını takip etmemi sağladım. Ardından yenilemek için takviminizde her 6-24 ayda bir yinelenen hatırlatıcı oluşturun. - α CVn
@ MichaelKjörling Önerinizin ilk bölümüne katılmıyorum. Tüm özel anahtarların aynı makinede aynı izinlerle depolandığı çok sayıda anahtar çifti oluşturmak, önemli bir güvenlik iyileştirmesi sağlamaz. Birisi tehlikeye düşerse, büyük olasılıkla geri kalan kısımları da tehlikeye girer. Ve bu durumda, çok sayıda anahtar çifti olması, yeni bir anahtar çifti oluşturmak için bir sebep gördüğünüzde onları döndürmekle daha fazla iş yapacağınız anlamına gelir. Bir kuşak tarihine yorum eklemekle ilgili bölüm iyi bir tavsiye ssh-keygen bunu varsayılan olarak yapardı). - kasperd
@kasperd İyi bir nokta çiziyorsun. Sanırım her zaman olduğu gibi, tehdit modelinize çok bağlı. Şüpheliyim ki, anahtarların farklı parolalara sahip olacağını kesin olarak tahmin ettim, bu sayede çok sayıda anahtarla her zaman pratik olmayabilir çünkü karışıma bir parola yöneticisi eklemek istemezsiniz. O yapar Ancak, OP'in tanımladığı şeye çok yakın bir şeye izin verir, çünkü bir anahtar diğer bağlantıları etkilemeden çok kolay bir şekilde "kullanımdan kaldırılabilir". Sonunda sanırım, biraz da kişisel bir zevk meselesi. - α CVn


Cevaplar:


Böyle bir şey yapmanın bir yolunu bilmiyorum, ama nasıl yararlı olacağını görebiliyorum. Yapmaya eğilimli olduğum şey, kullanımdan kaldırılan anahtarın SSH aracısına eklenmesini durdurmaktır. Bu şekilde, her kullanıldığında, şifreyi tekrar girmek zorunda kalacağım. Eğer "ugh, düzeltilecek başka bir şey" gibi bir şey varsa, o zaman her seferinde bana bu makinede anahtarımı döndürmem gerektiğini hatırlatır.


9
2017-10-09 10:15



Bu bağlamda, dosyayı başka bir dizine taşımak için yararlı olabilir (dağıtım / DE'ye bağlı olarak), Denizatı örneğin tüm anahtarları ~/. ssh otomatik olarak. - guntbert
Bunun yanması gereken herhangi bir şey. Bu, altı anahtardan daha fazlasına sahip olduğunuz (birkaç düzine sahibim) anı çok fazla başarısızlıktan dolayı başarısız olacağınız anlamına gelir (sunulan ve reddedilen her anahtar, başarısızlık sayımına doğru sayılır). - womble♦


Eski ssh anahtarını varsayılan olmayan bir konuma (yani ~ / .ssh / deprecated_id_rsa) taşıyabilir ve sonra ~ / .ssh / id_rsa adresinde istediğiniz özelliklere sahip yeni bir ssh anahtarı oluşturabilirsiniz.

Bu şekilde, kullanımdan kaldırılmış anahtarınızı hala kullanabilirsiniz. ssh -i ~/.ssh/deprecated_id_rsa ...ama siz yeni anahtarınızı kullanmaya başlayacaksınız.


4
2017-10-09 13:53