Я только что впервые создал виртуальный сервер (или, на языке хоста Digital Ocean, «каплю»). В Digital Ocean есть страница с инструкциями о ключах SSH https://www.digitalocean.com/ssh_keys говорит нам проверить, существуют ли ключи SSH, а затем дает инструкции для создания новых ключей SSH, а затем их добавления. В моем случае, используя команду, указанную в инструкциях, я обнаружил, что у меня уже есть ключи SSH (которые, как я предполагаю, я сгенерировал, когда подписался на github или heroku)
Вопросы
1) Следует ли мне повторно использовать ключи SSH, которые у меня уже есть, или сгенерировать новые ключи (т.е. должны ли они быть уникальными для службы, для которой я их использую)?
2) В инструкциях (скопированных ниже) рассказывается о добавлении ключей SSH в цифровой океан, а затем о создании сервера. В моем случае я создал сервер до добавления ключей SSH. Будет ли это создавать какие-либо проблемы, о которых я должен знать? Следует ли мне уничтожить сервер (на котором еще ничего не установлено) и создать новый, добавив ключи SSH в соответствующее время?
инструкции
You can add SSH keys to DigitalOcean which can then be selected during the droplet create process to add the selected SSH keys under the root user.
When using SSH keys a root password will no longer be set as SSH keys will be used as the preferred method of access.
We do not manage the server after creation, so editing, adding, or removing SSH keys from the SSH interface will not affect any of the stored keys on droplets that you have created.
Ключи SSH не обязательно должны быть уникальными для конкретной службы. В порядке общей практики они должен быть уникальным для цели.
Например, у вас как у человека может быть несколько ключей SSH:
- Ключ к вашим личным системам
- Ключ к вашим рабочим системам
- Ключ, который вы используете с github / rsync.net / etc.
На работе у вас также могут быть ключи, предназначенные для определенных программ (один используется Puppet, другой - программным обеспечением для резервного копирования и т. Д.)
Вам следует рассмотреть свои потребности в безопасности и конфиденциальности, а затем определить, следует ли вам создать новый ключ или использовать существующий.
Вставленные вами инструкции, похоже, указывают на то, что когда вы создаете «каплю», Digital Ocean добавляет указанные ключи в корневой каталог. authorized_keys файл. После этого они не управляют authorized_keys файл дальше, поэтому, если вы уже создали сервер без указав ключи (или вы хотите добавить / изменить / удалить ключи позже), вам нужно будет вручную отредактировать корневой authorized_keys файл, чтобы внести эти изменения.
Для этого не нужно уничтожать / воссоздавать сервер.
Я ничего не знаю о DigitalOcean.
Вы можете использовать один и тот же ключ ssh для всего, но в некоторых случаях лучше этого не делать. Если вы пересылаете свой ключ с помощью агента SSH, то есть риск, что кто-то с привилегиями root на машине, на которую вы переадресовываете, сможет использовать ваш ключ, пока вы все еще подключены. Куда еще они могли подключиться, используя этот ключ, зависит от того, где еще вы использовали тот же ключ. Многие сочли бы такое беспокойство параноидальным, но в равной степени есть обстоятельства, требующие большой осторожности (даже паранойя). Вы знаете, что поставлено на карту больше, чем я.
Помните, что иногда вы можете получить неожиданные результаты, если поместите тот же ключ в .ssh/authorized_keys файл дважды. Избегайте этого.