Назад | Перейти на главную страницу

Совет по повторному использованию SSH-ключа

Так что это не очень конкретный вопрос, но как люди повторно используют свои SSH-ключи? То есть, я хотел создать учетную запись GitHub. У меня также есть пара ключей для удаленного входа на домашнюю машину. Возможно, я неправильно обработал свои поисковые запросы Google, но использование одной и той же пары ключей для удобства считается плохим тоном? Я знаю, что сотрудники службы безопасности, вероятно, будут кричать мне «АД НЕТ!», Но как вы, системные администраторы, справитесь с этим на практике?

Два ключевых вопроса, которые стоит задать себе:

  1. Насколько безопасен ваш закрытый ключ?

  2. Насколько важны системы, в которые вы входите?

Первый вопрос является наиболее важным: если ваш закрытый ключ безопасен - например, хранится только на одной защищенной машине, к которой никто не имеет физического доступа, кроме вас, с параноидальным брандмауэром между ним и Интернетом всякий раз, когда он подключен - вы можете повторно использовать свой ключ.
(Если ваш закрытый ключ небезопасен, у вас есть более серьезные проблемы.)

Второй вопрос касается "вы хотеть для повторного использования ключа - лично у меня 3 SSH-ключа:

  • Мой личный ключ, с помощью которого я попадаю на мои личные серверы.
  • Мой рабочий ключ, который вводит меня в рабочие машины.
  • Мой ключ «SSH Services», который вводит меня в GitHub и тому подобное.

Если какой-либо из этих ключей будет скомпрометирован, сумма ущерба ограничена (как и количество требуемых повторных ключей: мне нужно только изменить authorized_keys списки систем, затронутых взломанным ключом (например, если мой личный ключ каким-то образом скомпрометирован, мне не нужно беспокоиться о взломе рабочих машин).

На практике ключи безопасны настолько, насколько безопасны машина / носитель, на которых хранится закрытая половина (мой рабочий закрытый ключ находится на зашифрованном USB-накопителе - если мне это нужно, я должен сначала смонтировать это устройство, а мои личные ключи и ключи «Сервис» оба в ~/.ssh на моем ноутбуке - компрометация моих рабочих систем будет более разрушительной, чем удаление всей моей личной электронной почты ...)

Поскольку настройка и управление несколькими ключами с помощью ~ / .ssh / config проста и понятна, я всегда создаю новые ключи и всегда с паролем для разных подключений или хостов, если это внешние хосты.