Я использовал эту статью: http://developer.apple.com/library/mac/#documentation/MacOSXServer/Conceptual/XServer_ProgrammingGuide/Articles/SSH.html чтобы помочь настроить сертификаты ssh (я использую Mac OS X).
Я вижу, что ключи помещены в файл с именем authorized_keys2
.
Имеет значение, как называется этот файл? Кроме того, на неличных серверах (серверах, где другие могут иметь root-доступ) безопасно ли использовать те же authorized_keys2
файл? Смогут ли они каким-то образом использовать это для доступа к моим личным серверам? Или я использую отдельные файлы авторизации для разных серверов / групп серверов?
Существуют ли какие-либо другие хорошие «общие практики» в отношении наличия нескольких серверов с аутентификацией на основе ключей, которые не упоминаются в этой статье?
Author_keys2 или более часто authorized_keys являются именами файлов по умолчанию. По крайней мере, с сервером OpenSSH вы можете переименовать файл по своему усмотрению с помощью AuthorizedKeysFile директива:
AuthorizedKeysFile
Specifies the file that contains the public keys that can be used for user authentication. AuthorizedKeysFile may contain tokens of the form %T which are substituted during connection setup. The following tokens are defined: %% is replaced by a literal ’%’, %h is replaced by the home directory of the user being authenticated, and %u is replaced by the username of that user. After expansion, AuthorizedKeysFile is taken to be an absolute path or one relative to the user’s home directory. The default is “.ssh/authorized_keys”.
Различие между authorized_keys и authorized_keys2 проявляется во время перехода с SSH v1 на SSH v2. Теперь SSH v2 является «стандартом по умолчанию», поэтому в большинстве случаев имя снова схоже с authorized_keys.
«Ключ» (простите за каламбур), который нужно понять, заключается в том, что закрытый ключ остается закрытым и хранится только на клиентской машине. Открытый ключ может быть опубликован на одном или нескольких серверах, как того требует доступ. Таким образом, возможность видеть / просматривать / копировать открытый ключ предоставляет только дополнительный доступ к закрытому ключу, но, что важно, не может использоваться сама по себе для получения доступа.
РЕДАКТИРОВАТЬ:
Моя любимая серия статей об аутентификации на основе ключа SSH была опубликована IBM несколько лет назад.
Имейте в виду, что этим статьям уже 10 лет, и некоторые вещи изменились. Тем не менее, они остаются наиболее полным объяснением всех нюансов, которые я обнаружил на сегодняшний день.