SSH를 통해 여러 장치에서 여러 서버에 연결해야합니다. 연결하려는 각 장치에서 새 id_dsa 파일을 만들어야하는지 또는 동일한 id_dsa 파일을 각 장치에 복사하는 데 문제가 없는지 궁금합니다.
예를 들어, 기본 Ubuntu 기반 데스크탑 시스템과 ssh가 포함 된 MacBook Pro가 있습니다. 그리고 Putty가 설치된 Windows 기반 Netbook이 있습니다. 그리고 ConnectBot과 안드로이드 폰이 있습니다. 이러한 장치 중 하나에서 수십 개의 물리적 서버와 가상 서버를 SSH로 연결해야 할 수도 있습니다.
각 서버에는 공개 키가 설치되어 있어야합니다. 또한 내 GitHub 및 Codaset 계정에는 공개 키가 필요합니다.
키 관리를 단순화하기 위해 이러한 모든 시스템에서 동일한 개인 키를 사용하려고합니다. 이것이 일반적인 관행입니까, 아니면 각 시스템에 개인 키를 두는 것이 낫습니까?
답변:
각 시스템에서 동일한 공개 키를 사용하고 개인 키가 손상되면 다른 제한을 제외하고 해당 키를 사용하는 모든 시스템에 액세스 할 수 있습니다.
비밀번호로 보호 된 개인 키를 사용하고 있다고 믿습니까?
우리의 관리 실무에는 보안 수준이 낮고 중간이며 높았습니다. 각 역할은 다른 키를 사용합니다. 보안 수준이 높은 개인 키는 분실 / 도난 당할 수있는 랩톱에서 사용되는 외부 자산으로 절대 전송되지 않아야합니다.보다 광범위한 시나리오에서 중간 및 낮은 보안 키를 배포 할 수 있습니다.
사용 패턴을 검토하고 보안 역할 측면에서 그 이후의 구성 요소를 확인하는 것이 좋습니다. 개인 키를 가져 오면 어떤 피해가 발생합니까?
SSH 개인 키를 도난 당할 수없는 하드웨어 장치에 배치하여 키가 문제가되지 않을 가능성을 제거하는 방법을 고려해 보셨습니까?
하드웨어 보안 모듈과 스마트 카드를 사용하여 SSH 개인 키를 안전한 방식으로 저장하여 운영 체제가 아닌 장치에서 모든 암호화 작업을 수행 할 수 있습니다. 그러나 하드웨어 장애가 발생할 경우 백업 하드웨어 장치가 필요하기 때문에 만병 통치약이 아닙니다.
물론 그렇습니다. 항상 모든 키를 authorized_keys2 파일에 추가 할 수 있습니다. 나는 jeffatrackaid의 제안을 좋아합니다. 그러나 각 장치마다 다른 개인 키를 사용하고 싶습니다. 안드로이드를 잃어 버리십시오. 인증 된 키 목록에서 키를 제거하십시오. 그렇지 않은 경우 해당 레벨의 키를 다시 재생성해야합니다.
즉, 이러한 자산의 위험을 어떻게 인식하는지에 달려 있습니다. 분명히 키를 잃고 싶지는 않지만 일부는 예를 들어 github와 vps의 루트와 같은 더 큰 위험에 노출 될 수 있습니다.
authorized_keys22001 년부터 사용되지 않음 authorized_keys