Назад | Перейти на главную страницу

Использование аутентификации по паре ключей ssh ​​и отключение аутентификации по паролю ssh - что произойдет, если закрытый ключ потерян?

Я настраиваю свой первый сервер на Linode и прохожу их руководства по настройке.

В их Безопасность вашего сервера В руководстве рекомендуется использовать аутентификацию по паре ключей ssh ​​и отключить аутентификацию по паролю.

У меня вопрос: отключу ли я аутентификацию по паролю - что, если я потеряю свой закрытый ключ? Как я смогу снова войти на свой сервер?

У меня вопрос: отключу ли я аутентификацию по паролю - что, если я потеряю свой закрытый ключ? Как я смогу снова войти на свой сервер?

Вот почему у вас всегда должно быть какое-то внеполосное управление для вашего сервера. Для физического сервера это будет что-то вроде карты Dell DRAC или карты HP iLO. Для вашего Линода вот что ЛИШ для. Используя эти решения OOB, вы можете войти в фактическую консоль вашего сервера, используя свое имя пользователя и пароль. Они также пригодятся, когда на вашем сервере обрывается сеть, и вы не можете получить к нему доступ.

Но, честно говоря, не теряйте ключ. Защитите его парольной фразой и сделайте резервную копию в безопасном месте. Черт возьми, Распечатать его и спрячьте в свой сейф. Это относительно небольшие файлы, и нет оправдания тому, чтобы не заботиться о них должным образом.

Обновить: Что касается безопасности LISH: используйте разные учетные данные / ключи для LISH. Вот и все, что нужно сделать - учетные данные, которые в случае взлома не предоставят доступ к вашему серверу.

Что касается того, что кто-то узнает, что Linode является вашим поставщиком, то эта информация доступна для кто угодно, и это просто whois командовать прочь.

Вы будете заблокированы, как если бы вы забыли пароль root.

Что вам нужно сделать, так это сделать резервную копию вашего ключа на внешнем носителе и положить его в безопасное место. С кодовой фразой в коробке в банке, если вы параноик.

Конечно, существуют различные преднамеренные бэкдоры, такие как VNC от Digitalocean. И / или любую управляемую службу резервного копирования, где вы можете отправлять файлы на машину (просто нажмите конфигурацию sshd, где разрешены пароли), например Idera.