Назад | Перейти на главную страницу

общая безопасность ssh - проверка подлинности сертификата

Я использовал эту статью: http://developer.apple.com/library/mac/#documentation/MacOSXServer/Conceptual/XServer_ProgrammingGuide/Articles/SSH.html чтобы помочь настроить сертификаты ssh (я использую Mac OS X).

Я вижу, что ключи помещены в файл с именем authorized_keys2.

Имеет значение, как называется этот файл? Кроме того, на неличных серверах (серверах, где другие могут иметь root-доступ) безопасно ли использовать те же authorized_keys2 файл? Смогут ли они каким-то образом использовать это для доступа к моим личным серверам? Или я использую отдельные файлы авторизации для разных серверов / групп серверов?

Существуют ли какие-либо другие хорошие «общие практики» в отношении наличия нескольких серверов с аутентификацией на основе ключей, которые не упоминаются в этой статье?

Author_keys2 или более часто authorized_keys являются именами файлов по умолчанию. По крайней мере, с сервером OpenSSH вы можете переименовать файл по своему усмотрению с помощью AuthorizedKeysFile директива:

AuthorizedKeysFile

Specifies the file that contains the public keys that can be used for user authentication.  AuthorizedKeysFile may contain tokens of the form %T which are substituted during connection setup.  The following tokens are defined: %% is replaced by a literal ’%’, %h is replaced by the home directory of the user being authenticated, and %u is replaced by the username of that user.  After expansion, AuthorizedKeysFile is taken to be an absolute path or one relative to the user’s home directory.  The default is “.ssh/authorized_keys”.

Различие между authorized_keys и authorized_keys2 проявляется во время перехода с SSH v1 на SSH v2. Теперь SSH v2 является «стандартом по умолчанию», поэтому в большинстве случаев имя снова схоже с authorized_keys.

«Ключ» (простите за каламбур), который нужно понять, заключается в том, что закрытый ключ остается закрытым и хранится только на клиентской машине. Открытый ключ может быть опубликован на одном или нескольких серверах, как того требует доступ. Таким образом, возможность видеть / просматривать / копировать открытый ключ предоставляет только дополнительный доступ к закрытому ключу, но, что важно, не может использоваться сама по себе для получения доступа.

РЕДАКТИРОВАТЬ:

Моя любимая серия статей об аутентификации на основе ключа SSH была опубликована IBM несколько лет назад.

Имейте в виду, что этим статьям уже 10 лет, и некоторые вещи изменились. Тем не менее, они остаются наиболее полным объяснением всех нюансов, которые я обнаружил на сегодняшний день.