10 votos

Debo crear una nueva privada de la clave ssh en cada sistema?

Necesito conectar a varios servidores de múltiples dispositivos a través de SSH. Me pregunto si debo ser la creación de un nuevo archivo id_dsa en cada dispositivo que me estoy conectando desde, o si no hay un problema de copiar el mismo archivo id_dsa para cada dispositivo.

Por ejemplo, yo tengo mi primaria basada en Ubuntu sistema de escritorio y un MacBook Pro con ssh. Y me he basado en Windows Netbook con Masilla instalado. Y tengo un teléfono Android con ConnectBot. Desde cualquiera de estos dispositivos, puede ser que necesite SSH en docenas de diferentes servidores físicos y virtuales.

Cada servidor tiene mi clave pública instalada. También, mi GitHub y Codaset de las cuentas requieren mi clave pública.

Para simplificar la gestión de claves, estoy pensando en usar la misma clave privada en todos estos sistemas. Es esta una práctica común, o es mejor tener una clave privada en cada sistema?

3voto

jeffatrackaid Puntos 3359

Si utiliza la misma clave pública de cada sistema y la clave privada está en peligro, entonces cualquier sistema con dicha clave, la restricción de otras restricciones, será accesible.

Confío en que usted está utilizando la contraseña protegida claves privadas?

En nuestra práctica de la gestión, hemos de baja, mediana y alta seguridad de "roles". Cada función se utiliza una clave diferente. Alta seguridad de las claves privadas no son para ser transmitida a los activos externos, utilizados en los equipos portátiles que podría ser la pérdida/robo, etc. Media y baja claves de seguridad que se pueden implementar en una amplia gama de escenarios.

Sugiero examinar sus patrones de uso y ver lo que hace, ya que en términos de roles de seguridad. ¿Cuál es el daño que se hace con la obtención de su clave privada?

Han considerado que la colocación de su clave privada SSH en un dispositivo de hardware de la que no se puede robar, quitar el potencial compromiso de la clave en un no-problema?

Tanto de hardware de los módulos de seguridad y tarjetas inteligentes pueden ser utilizados para almacenar SSH privada las claves de forma segura, permitiendo que todas las operaciones criptográficas que se realizan en el dispositivo, en lugar de en sus sistemas operativos. Sin embargo, no son una panacea, ya que requieren de hardware de copia de seguridad de los dispositivos, en caso de un fallo de hardware.

2voto

Rhino Puntos 268

Absolutamente. Siempre se puede añadir todas las claves para su authorized_keys2 archivo. Me gusta jeffatrackaid la sugerencia. Sin embargo, me gustaría utilizar diferentes claves privadas para cada dispositivo - ¿por qué no. Perder tu Android. Simple, retire la llave de la lista de claves autorizadas. Si no, vas a tener que regenerar ese nivel de nuevo la tecla.

Dicho esto, depende de cómo se percibe el riesgo de estos activos. Obviamente, usted no quiere perder las llaves, pero algunos puede exponer a un mayor riesgo, es decir, github vs la root de su vps, por ejemplo.

2voto

Tim Post Puntos 1268

¿Te acuerdas de cuando Debian tenía que poca entropía problema a la hora de generar las claves SSH? Fue entonces que aprendí mi lección bien.

Yo tengo mi propia clave privada(s) para mis propias cosas, como entrar en mi personal de los servidores. Yo tengo mi "Todo Propósito" clave que me mete en la mayor parte de mi desarrollo cajas, a continuación, llaves de corte por cada cliente que he de servicio.

Yo también mantenga una lista detallada de cuáles son las teclas que están en lo de las máquinas, sólo en caso de que deba reemplazar o quitar a toda prisa.

Para todo lo demás que es grave, sólo tiene que utilizar LDAP / PAM, en el caso de que me tenga que quitar a alguien más en un apuro.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: