У меня есть настольный компьютер и ноутбук, которые я использую для разработки. Я сгенерировал ssh-ключ на основном компьютере (рабочем столе) для моего vps, который использует парольную фразу. Что касается передовых практик или соображений безопасности, лучше ли сгенерировать новый ключ ssh на моем ноутбуке для того же vps, или я должен просто скопировать ключи ssh с рабочего стола на ноутбук.
Все, что я прочитал по этой теме, просто объясняет, как копировать ключи ssh с одного компьютера на другой. Я не видел ничего, объясняющего плюсы / минусы создания нового ключа по сравнению с копированием существующего. (обе машины используются исключительно мной).
Пока ваш закрытый ключ защищен парольной фразой хорошего качества, его можно безопасно копировать с одного компьютера на другой.
я согласен с https://unix.stackexchange.com/questions/208495/ssh-key-authentication-with-multiple-computers. Вы можете сделать что угодно, но у каждого есть свои плюсы и минусы.
Я бы предпочел создать новый закрытый ключ SSH для каждой доверенной машины. Таким образом, если кто-то скомпрометирован, потребуется заменить только ключ для этой машины. Копирование закрытых ключей может также увеличить вероятность того, что кто-то другой получит к нему доступ. По сути, это становится единственной точкой отказа. Есть причина, по которой такие сайты, как BitBucket рекомендовать их пользователи должны ежегодно менять свои SSH-ключи.
Копирование ключа в другое место увеличивает его уязвимость для получения доступа третьей стороной. Если вы повторно используете ключи и они скомпрометированы, у вас нет возможности узнать, какая рабочая станция была взломана. Я настоятельно рекомендую иметь набор ключей для каждой рабочей станции, чтобы было легко отозвать ключи, не теряя доступа где-либо еще.
Поскольку вы используете ключи вместо кодовой фразы для входа на свой сервер, я настоятельно рекомендую отключить аутентификацию по паролю на вашем SSH-сервере. Это поможет предотвратить атаки методом грубой силы на вашу службу SSH. Убедитесь, что вы уже успешно вошли в систему со своим ключом, иначе вас заблокируют.
$ sudo nano /etc/ssh/sshd_config
Затем в файле конфигурации найдите строчку #PasswordAuthentication yes
И измените его на PasswordAuthentication no
Протестируйте файл конфигурации, чтобы убедиться в отсутствии ошибок (отсутствие вывода означает отсутствие ошибок)
$ sudo sshd -t
Затем перезапустите демон SSH (при условии, что systemd)
$ sudo service ssh restart