SSH를 통해 여러 장치에서 여러 서버에 연결해야합니다. 연결하려는 각 장치에서 새 id_dsa 파일을 만들어야하는지 또는 동일한 id_dsa 파일을 각 장치에 복사하는 데 문제가 없는지 궁금합니다.
예를 들어, 기본 Ubuntu 기반 데스크탑 시스템과 ssh가 포함 된 MacBook Pro가 있습니다. 그리고 Putty가 설치된 Windows 기반 Netbook이 있습니다. 그리고 ConnectBot과 안드로이드 폰이 있습니다. 이러한 장치 중 하나에서 수십 개의 물리적 서버와 가상 서버를 SSH로 연결해야 할 수도 있습니다.
각 서버에는 공개 키가 설치되어 있어야합니다. 또한 내 GitHub 및 Codaset 계정에는 공개 키가 필요합니다.
키 관리를 단순화하기 위해 이러한 모든 시스템에서 동일한 개인 키를 사용하려고합니다. 이것이 일반적인 관행입니까, 아니면 각 시스템에 개인 키를 두는 것이 낫습니까?
답변
각 시스템에서 동일한 공개 키를 사용하고 개인 키가 손상되면 다른 제한을 제외하고 해당 키를 사용하는 모든 시스템에 액세스 할 수 있습니다.
비밀번호로 보호 된 개인 키를 사용하고 있다고 믿습니까?
우리의 관리 실무에는 보안 수준이 낮고 중간이며 높았습니다. 각 역할은 다른 키를 사용합니다. 보안 수준이 높은 개인 키는 분실 / 도난 당할 수있는 랩톱에서 사용되는 외부 자산으로 절대 전송되지 않아야합니다.보다 광범위한 시나리오에서 중간 및 낮은 보안 키를 배포 할 수 있습니다.
사용 패턴을 검토하고 보안 역할 측면에서 그 이후의 구성 요소를 확인하는 것이 좋습니다. 개인 키를 가져 오면 어떤 피해가 발생합니까?
SSH 개인 키를 도난 당할 수없는 하드웨어 장치에 배치하여 키가 문제가되지 않을 가능성을 제거하는 방법을 고려해 보셨습니까?
하드웨어 보안 모듈과 스마트 카드를 사용하여 SSH 개인 키를 안전한 방식으로 저장하여 운영 체제가 아닌 장치에서 모든 암호화 작업을 수행 할 수 있습니다. 그러나 하드웨어 장애가 발생할 경우 백업 하드웨어 장치가 필요하기 때문에 만병 통치약이 아닙니다.
답변
물론 그렇습니다. 항상 모든 키를 authorized_keys2 파일에 추가 할 수 있습니다. 나는 jeffatrackaid의 제안을 좋아합니다. 그러나 각 장치마다 다른 개인 키를 사용하고 싶습니다. 안드로이드를 잃어 버리십시오. 인증 된 키 목록에서 키를 제거하십시오. 그렇지 않은 경우 해당 레벨의 키를 다시 재생성해야합니다.
즉, 이러한 자산의 위험을 어떻게 인식하는지에 달려 있습니다. 분명히 키를 잃고 싶지는 않지만 일부는 예를 들어 github와 vps의 루트와 같은 더 큰 위험에 노출 될 수 있습니다.
답변
SSH 키를 생성 할 때 데비안에 작은 엔트로피 문제가 있었을 때를 기억하십니까? 그때 나는 나의 교훈을 잘 배웠다.
개인 서버에 들어가는 것과 같은 개인 키를 가지고 있습니다. 대부분의 개발 상자에 들어가는 “다목적”키가 있으며 서비스하는 클라이언트마다 키를 잘라냅니다.
또한 서둘러 교체하거나 제거해야 할 경우를 대비하여 어떤 기계에 어떤 키가 있는지에 대한 매우 자세한 목록을 유지합니다.
심각한 다른 모든 것에 는 서둘러 다른 사람을 제거해야 할 경우를 대비하여 LDAP / PAM을 사용 합니다.