최근에 데스크톱에서와 동일한 원격 호스트에 액세스해야하는 랩톱을 구입했습니다. 개인 키 파일을 데스크탑에서 랩톱으로 간단히 복사하고 ~/.ssh/authorized_keys액세스하려는 모든 호스트 의 파일에 새 키를 추가하지 않아도되는 것이 가능했습니다. 그래서 내 질문은 :
- 이것이 가능합니까?
- 명백한 보안 영향이 있습니까?
- 때로는 랩톱에서 데스크탑에 로그인합니다. 동일한 키를 사용하고 있다면 문제가 발생합니까?
답변
예, 가능합니다. 개인 키는 단일 컴퓨터에 연결되어 있지 않습니다.
확실하지 않은 의미가 무엇인지 확실하지 않은 경우가 종종 주관적입니다.). 20 자 이상의 암호를 설정해야한다면 전혀 나쁜 생각이 아닙니다.
데스크탑과 동일한 키로 연결하는 데는 문제가 없습니다. 랩톱에서 키에 대한 ssh 에이전트를 설정하고 에이전트를 데스크탑으로 전달하므로 거기에서 액세스하는 다른 시스템에서 해당 키를 사용하게됩니다.
Linux 시스템의 ssh-agent 매뉴얼 페이지에서 :
ssh-agent는 공개 키 인증 (RSA, DSA)에 사용되는 개인 키를 보유하는 프로그램입니다. 아이디어는 ssh-agent가 X 세션 또는 로그인 세션의 시작에서 시작되고 다른 모든 창 또는 프로그램은 ssh-agent 프로그램의 클라이언트로 시작된다는 것입니다. 환경 변수를 사용하면 ssh (1)를 사용하여 다른 시스템에 로그인 할 때 에이전트를 찾아 인증에 자동으로 사용할 수 있습니다.
랩톱, Linux / Unix의 ssh-agent 프로그램 (OpenSSH와 함께 제공됨) 또는 Windows를 사용하는 경우 puTTY 에이전트에서이를 실행합니다. 원격 시스템에서 에이전트를 실행할 필요가 없으며, 로컬 시스템의 메모리에 개인 키를 순수하게 유지하므로 암호를 한 번만 입력하면 에이전트에 키를로드 할 수 있습니다.
에이전트 전달은 sshssh 연결을 통해 다른 시스템으로 에이전트를 지속시키는 ssh 클라이언트 ( 또는 퍼티) 의 기능입니다 .
답변
나는 모든 컴퓨터에서 단일 개인 키를 사용했지만 일부는 관리자가 아닌 사용자 만 사용했습니다. 그러나 최근에 이것을 변경했습니다. 하나의 키를 가지고 작동하지만 키를 해지 해야하는 경우 (손상된 경우) 모든 컴퓨터에서 키를 변경해야합니다.
물론 공격자가 액세스하여 다른 컴퓨터에 ssh 할 수 있으면 해당 컴퓨터에서 키를 가져올 수 있습니다. 그러나 하나의 키만 취소하고 해당 시스템을 잠글 수 있다는 것을 알면 조금 더 안전합니다. 그러나 authorized_keys 파일에서 키를 제거해야 함을 의미합니다.