여러 컴퓨터에서 동일한 개인 ssh 키를 사용하는 것은 좋지 않습니까?


35

최근에 데스크톱에서와 동일한 원격 호스트에 액세스해야하는 랩톱을 구입했습니다. 개인 키 파일을 데스크탑에서 랩톱으로 간단히 복사하고 ~/.ssh/authorized_keys액세스하려는 모든 호스트 의 파일에 새 키를 추가하지 않아도되는 것이 가능했습니다. 그래서 내 질문은 :

  1. 이것이 가능합니까?
  2. 명백한 보안 영향이 있습니까?
  3. 때로는 랩톱에서 데스크탑에 로그인합니다. 동일한 키를 사용하고 있다면 문제가 발생합니까?

2
known_keys가 아니라 known_keys를 의미한다고 생각합니다. 전자는 수 신용이고 후자는 발 신용입니다.
Matthew Schinckel

잘 잡았습니다. 결정된.
Jason Creighton

답변:


29

예, 가능합니다. 개인 키는 단일 컴퓨터에 연결되어 있지 않습니다.

확실하지 않은 의미가 무엇인지 확실하지 않은 경우가 종종 주관적입니다.). 20 자 이상의 암호를 설정해야한다면 전혀 나쁜 생각이 아닙니다.

데스크탑과 동일한 키로 연결하는 데는 문제가 없습니다. 랩톱에서 키에 대한 ssh 에이전트를 설정하고 에이전트를 데스크탑으로 전달하므로 거기에서 액세스하는 다른 시스템에서 해당 키를 사용하게됩니다.

Linux 시스템의 ssh-agent 매뉴얼 페이지에서 :

ssh-agent는 공개 키 인증 (RSA, DSA)에 사용되는 개인 키를 보유하는 프로그램입니다. 아이디어는 ssh-agent가 X 세션 또는 로그인 세션의 시작에서 시작되고 다른 모든 창 또는 프로그램은 ssh-agent 프로그램의 클라이언트로 시작된다는 것입니다. 환경 변수를 사용하면 ssh (1)를 사용하여 다른 시스템에 로그인 할 때 에이전트를 찾아 인증에 자동으로 사용할 수 있습니다.

랩톱, Linux / Unix의 ssh-agent 프로그램 (OpenSSH와 함께 제공됨) 또는 Windows를 사용하는 경우 puTTY 에이전트에서이를 실행합니다. 원격 시스템에서 에이전트를 실행할 필요가 없으며, 로컬 시스템의 메모리에 개인 키를 순수하게 유지하므로 암호를 한 번만 입력하면 에이전트에 키를로드 할 수 있습니다.

에이전트 전달은 sshssh 연결을 통해 다른 시스템으로 에이전트를 지속시키는 ssh 클라이언트 ( 또는 퍼티) 의 기능입니다 .


1
ssh 에이전트 전달과 관련하여 제안하는 내용을 잘 모르겠습니다. 그 점을 좀 더 자세히 설명해 주시겠습니까? 노트북을 사용해야 할 때 항상 데스크탑에 액세스 할 수 없다고 말할 수 있습니다.
Jason Creighton

업데이트 답 :
jtimberman

10

나는 모든 컴퓨터에서 단일 개인 키를 사용했지만 일부는 관리자가 아닌 사용자 만 사용했습니다. 그러나 최근에 이것을 변경했습니다. 하나의 키를 가지고 작동하지만 키를 해지 해야하는 경우 (손상된 경우) 모든 컴퓨터에서 키를 변경해야합니다.

물론 공격자가 액세스하여 다른 컴퓨터에 ssh 할 수 있으면 해당 컴퓨터에서 키를 가져올 수 있습니다. 그러나 하나의 키만 취소하고 해당 시스템을 잠글 수 있다는 것을 알면 조금 더 안전합니다. 그러나 authorized_keys 파일에서 키를 제거해야 함을 의미합니다.


오래된 게시물을 삭제하여 죄송하지만 비밀번호로 개인 키를 암호화하면이 문제가 완화 될 것이라고 생각하십니까? 또는 귀하의 경우 암호도 손상 되었습니까?
thirdender

1
키에 암호를 입력하면 완화 될 수 있습니다. 실제로는 ssh 전달 (에이전트 사용)을 사용한 다음 사용하는 실제 시스템 당 하나의 키만 가지고 실제로 암호로 보호 할 수 있습니다.
Matthew Schinckel
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.