여러 시스템에 대해 공개 키 기반 ssh 로그인을 원할 경우 하나의 개인 키를 사용하고 모든 시스템에 동일한 공개 키를 배치합니까? 또는 각 연결마다 하나의 개인 / 공개 키 쌍이 있습니까?
여러 시스템에 대해 공개 키 기반 ssh 로그인을 원할 경우 하나의 개인 키를 사용하고 모든 시스템에 동일한 공개 키를 배치합니까? 또는 각 연결마다 하나의 개인 / 공개 키 쌍이 있습니까?
답변:
올바르게 이해하면 각 서버에는 자체 공개 키가 있습니다.
개인 키가 모든 시작 호스트에 복제 되는 한 지정된 사용자 에 대해 하나의 키를 생성하고 어디에서나 사용할 수 있습니다. (이는 사용자가 로그인 한 워크 스테이션에 관계없이 항상 "동일"하므로 네트워크 마운트 홈 디렉토리 및 OpenLDAP와 같은 디렉토리 기반 인증 시스템을 통해 자동으로 발생합니다.)
디렉토리 기반 사용자 시스템 외부에서는 모든 곳에서 동일한 키를 사용하는 것이 좋지 않은 아이디어라고 생각합니다. 워크 스테이션에서 키를 얻을 수있는 사람은 누구나 해당 사용자를 원격 서버로
몇몇 대기업에서 비롯된 또 다른 대안은 (또한 소규모 기업도) "사용자"가 사전 공유 키를 사용하도록 허용하지 않고 "점프"또는 "허브"상자에 로그인하는 것입니다. , su
적절한 연결 사용자에게 연결 한 다음 SSH를 통해 관리해야하는 서버로 연결합니다.
또한 HP의 서버 자동화 플랫폼과 같은 관리 시스템을 사용하는 경우 관리 서버의 원격 관리가보다 단순화 된 프로세스가됩니다.
su
그러나 세션이 기록 되므로 감사 가능합니다.
su
세션 만 감사하고 다른 세션은 감사하지 않습니까?
다른 사람들이 말했듯이, 여러 키 페어에 대한 아이디어는 더 안전 해 보일 수 있지만, 모두 같은 위치에있을 가능성이 있다면 더 번거롭고 더 안전하지 않습니다. 여러 암호 구는 보안을 강화하지만 어느 암호 구가 어떤 키와 어떤 키가 어떤 서버와 함께되는지 기억하려고 노력할 때 큰 두통이됩니다.
나에게 가장 합리적인 대답은 많은 중복없이 별도의 관리 역할이 필요한 경우에만 제안하는 것입니다. 다른 역할을 수행하는 사람이나 다른 워크 스테이션 또는 다른 사람이 될 수 있습니다. 이 경우 어쨌든 각각의 다른 역할에 대해 다루어야 할 더 많은 고유 한 것들이 있으므로 더 정당합니다.
여러 SSH 가능 서버를 쉽게 관리하기 위해 cssh 를 체크 아웃 할 수 있습니다 . cssh를 패스 프레이즈 SSH 키와 결합하여 여러 서버를 동시에 관리하는 기능을 크게 향상시킬 수 있습니다.