여러 시스템에서 동일한 SSH 키 쌍을 사용하는 것이 좋습니다.


12

최근에 업무용으로 새로운 랩탑을 얻었고, 기존의 랩탑에서 사용하는 것과 동일한 RSA 키 페어를 계속 사용하는 것이 좋은지 궁금합니다. 추적하기 위해 다른 키 페어를 만들 필요가 없습니다.

이것은 일반적으로 수용 가능한 관행입니까? 키 쌍에는 암호가 있으므로 실제 머신이 안전하다면 상당히 안전해야합니까?


답변:


4

그렇습니다. 물리적 인 기계가 안전한 안전한 손에있는 한 안전합니다. 물론 공격자가 액세스하여 한 컴퓨터에 ssh 할 수 있으면 해당 컴퓨터에서 키를 가져 와서 다른 컴퓨터에도 사용할 수 있습니다. 자세한 내용은 이것을 참조하십시오.


2
개인 키를 보유한 기계 만 안전해야합니다.
psusi

7

여기의 다른 답변과 다른 곳에서 조금 더 명확하게하기 위해 : "안전"은 개인 키의 보안만큼 안전합니다. 누군가 개인 키에 액세스 할 수있는 경우 이메일로 보내거나 USB 장치로 복사 할 수 있습니다. 그런 다음 다른 사람이 복사 한 개인 키를 사용할 수 있습니다.

개인 키가 보안 시스템에있는 한 여러 시스템으로 이동하는 데 아무런 문제가 없습니다.

그러나 내가 말할 한 가지는 : 개인 키를 원격 시스템에 복사 하지 마십시오 . SSH 에이전트 (ssh-agent 또는 pageant) 및 에이전트 전달에 의존하십시오. 원격 시스템에 개인 키가있는 경우 시스템에 액세스하는 데 사용 된 것과 동일한 키가 아닌지 확인하십시오.


1

여러 컴퓨터에서 단일 키를 사용하면 시스템 관리자가 처리해야하는 키의 양이 확실히 줄어 듭니다. 나는 내가 일할 수있는 5 대의 기계를 가지고있다. 회사에 8 명이 있고 8 개 대신 40 개의 키를 관리하는 경우

그러나 Arcege가 간접적으로도 지적했듯이 문제는 단일 머신이 손상되거나 단기간 동안 누락되면 더 이상 모든 머신에서 액세스 할 수 없다는 것입니다. 내 모든 기계를 풀다운해야합니다). 손상되거나 도난당한 랩톱에서 단일 키를 제거하고 다른 컴퓨터에서 계속 작업 할 수있는 편리함은 여러 키를 처리하는 번거 로움이 될 것입니다.

더 극단적 인 예에서, 내가 sysadmin이고 노트북을 도난 당했거나 해킹 당했다고 가정 해보십시오. 내 키를 제거해야하지만 그렇게하려면 모든 시스템에 액세스해야합니다. 기술적으로 단일 세션 내에서 교체 및 제거가 가능하지만 신속하게 이동하고 모든 기지를 포괄하려고 할 때 비상 시나리오가 상당히 복잡합니다.

반면에, 각 워크 스테이션마다 고유 한 키가있는 경우 다른 워크 스테이션에 접근 할 수 있으면 자신을 잠그지 않아도 손상된 키를 빠르고 효율적으로 제외 할 수 있습니다.

보안에 대한 SSH 키 접근 방식에 대해 자세히 살펴보면 실제 보안을 위해 두 가지 모두를 사용해야한다는 것이 분명합니다.

  • 우리가 가진 것 (SSH 키)
  • 우리가 아는 것 (서버 암호)

암호 요구 사항에는 서버 액세스와 키 암호가 모두 포함됩니다. 번거 로움이 커지지 만 그 시점에서 더 이상 단일 실패 지점없습니다 (SSH 키, SSH 키 액세스 비밀번호, 서버 비밀번호) . 공유 서버 비밀번호는 또한 매우 약한 SSH 키 비밀번호로부터 팀을 보호합니다 (일반적으로 우리는 동료가 생성하는 비밀번호 레벨을 제어 할 수 없음). 더 잘 알아야하는 사람들조차도 때로는 충격에 약한 암호를 만듭니다).

공격자를 결정해야하며 성공적인 공격에는 몇 달 또는 몇 년이 걸릴 수 있습니다. 서버 암호를 6 개월 정도 변경하여 LastPass와 같은 엔터프라이즈 급 시스템과 공유하는 서버 암호-SSH 키도 있음을 기억하십시오)이 시점에서 서버는 합리적인 보안을 누릴 수 있습니다. 침입 할 수있는 고대 암호가있는 키).

불법적 인 내부자 액세스 (Edward Snowden이 떠오를 때, Ashley Madison 핵이 두 번째가된다)를 주요 위험으로 생각해야합니다. 키와 암호를 모두 사용해야 만 내부자를 느리게 할 수 있습니다.

고대 중국 방법 이외의 작업 : 작업이 끝나면 살아남 습니다.

매장 후, 기계 장치를 제작하고 그 보물을 알고있는 장인들이 그 비밀을 밝히는 것이 심각한 위반이 될 것을 제안했습니다. 따라서 장례식이 끝나고 보물이 숨겨 지자 내부 통로가 막히고 외부 문이 내려져 모든 노동자와 장인이 즉시 갇히게되었습니다. 아무도 탈출 할 수 없었습니다.


0

사용자 키의 경우-예, 보안 암호를 사용하고 ssh 보안 결함이없는 시스템에서 키를 생성 한 경우.

서버 키의 경우 : 아니요.


0

직장, 집, open_source_project와 같이 다른 그룹에 대해 다른 키를 갖는 것이 좋은 습관이라고 말하고 싶습니다.

더 많은 키를 추가할수록 키 관리가 더 복잡합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.