SSH : 각 원격 컴퓨터마다 하나의 개인 / 공개 키 쌍을 사용합니까? 아니면 모두를위한 단일 쌍?

여러 시스템에 대해 공개 키 기반 ssh 로그인을 원할 경우 하나의 개인 키를 사용하고 모든 시스템에 동일한 공개 키를 배치합니까? 또는 각 연결마다 하나의 개인 / 공개 키 쌍이 있습니까?

공통 관리 경계를 공유하는 시스템 세트당 하나의 키를 사용합니다. 이로 인해 키가 손상되면 수천 개의 키를 저장 및 관리 할 수있는 용량을 완전히 압도하지 않으면 서 터지는 기계의 수가 제한됩니다. 각 키의 암호 문구가 다르면 모든 개인 키를 도난 당하고 하나의 키가 손상 되더라도 나머지 키는 변기로 내려 가지 않습니다. 또한 신뢰할 수없는 컴퓨터에 개인 키를 복사하는 것과 같이 어리석은 일을하는 경우에도 해당 키와 연결된 컴퓨터 만 모든 것을 다시 입력 할 필요는 없습니다.

공개 키는 정의에 의해 공개 될 수 있기 때문에 중요하지 않습니다. 따라서 유일한 문제는 개인 키의 개인 정보입니다. 그들은 자신의 컴퓨터에 있으며 모두 함께 있기 때문에 하나가 손상되면 모두 손상 될 가능성이 있습니다. 따라서 여러 키 쌍은 동일한 효과를 위해 더 많은 작업을 수행합니다.

다른 키를 사용하는 유일한 시간은 다른 계정이나 다른 역할에 대한 것입니다. 정의상 액세스가 완전히 겹치지 않아야합니다.

올바르게 이해하면 각 서버에는 자체 공개 키가 있습니다.

개인 키가 모든 시작 호스트에 복제 되는 한 지정된 사용자 에 대해 하나의 키를 생성하고 어디에서나 사용할 수 있습니다. (이는 사용자가 로그인 한 워크 스테이션에 관계없이 항상 "동일"하므로 네트워크 마운트 홈 디렉토리 및 OpenLDAP와 같은 디렉토리 기반 인증 시스템을 통해 자동으로 발생합니다.)

디렉토리 기반 사용자 시스템 외부에서는 모든 곳에서 동일한 키를 사용하는 것이 좋지 않은 아이디어라고 생각합니다. 워크 스테이션에서 키를 얻을 수있는 사람은 누구나 해당 사용자를 원격 서버로

몇몇 대기업에서 비롯된 또 다른 대안은 (또한 소규모 기업도) "사용자"가 사전 공유 키를 사용하도록 허용하지 않고 "점프"또는 "허브"상자에 로그인하는 것입니다. , su적절한 연결 사용자에게 연결 한 다음 SSH를 통해 관리해야하는 서버로 연결합니다.

또한 HP의 서버 자동화 플랫폼과 같은 관리 시스템을 사용하는 경우 관리 서버의 원격 관리가보다 단순화 된 프로세스가됩니다.

다른 사람들이 말했듯이, 여러 키 페어에 대한 아이디어는 더 안전 해 보일 수 있지만, 모두 같은 위치에있을 가능성이 있다면 더 번거롭고 더 안전하지 않습니다. 여러 암호 구는 보안을 강화하지만 어느 암호 구가 어떤 키와 어떤 키가 어떤 서버와 함께되는지 기억하려고 노력할 때 큰 두통이됩니다.

나에게 가장 합리적인 대답은 많은 중복없이 별도의 관리 역할이 필요한 경우에만 제안하는 것입니다. 다른 역할을 수행하는 사람이나 다른 워크 스테이션 또는 다른 사람이 될 수 있습니다. 이 경우 어쨌든 각각의 다른 역할에 대해 다루어야 할 더 많은 고유 한 것들이 있으므로 더 정당합니다.

여러 SSH 가능 서버를 쉽게 관리하기 위해 cssh 를 체크 아웃 할 수 있습니다 . cssh를 패스 프레이즈 SSH 키와 결합하여 여러 서버를 동시에 관리하는 기능을 크게 향상시킬 수 있습니다.