아시다시피 암호 문구가 제공하는 이점은 누군가 개인 키를 읽을 수있는 경우이를 사용할 수 없다는 것입니다.

누군가 개인 키에 액세스 할 수있는 경우 공개 키로 설정된 시스템에 액세스하거나 손상을 입 었음을 당연한 것으로 간주해야합니다. .ssh / known_hosts가 난독 화되어 있어도 .bash_history 또는 .ssh / config와 같은 기능 만 사용하면이 작업이 더 쉬워집니다.

키에 비밀번호를 입력하지 않아도 끝이 아닙니다. 여기에도 불구하고 조금 더 나은 보안을 유지하기위한 3 가지 아이디어가 있습니다. ( 비기가, 두 번째 읽기가 아무것도 경우 )

1. 모든 컴퓨터와 사용자에게 동일한 키를 사용하지 마십시오. 각 머신에서 (이러한 작업을 수행해야하는) 각 키 쌍마다 각 사용자를 생성하십시오. 이것은 당신이 어디에서 ssh 할 수 있는지에 대한 세밀한 제어를 유지할 수있게합니다.

2. authorized_keys 파일에 키를 추가 할 때 특정 명령 만 실행하거나 특정 호스트에서만 사용할 수 있도록 잠글 수 있습니다.

   보기 man ssh및 검색 명령 = 및 =에서

   구문은 다음과 같습니다.

   from="1.2.3.4",command="/path/to/executable argument" ssh-rsa key name

   즉, 거기에 팝 ‘rsync’가 있고 키로 ‘rsync’ 만 호출 할 수 있으며 IP 주소 1.2.3.4 에서만 호출 할 수 있습니다 . 여러 개의 IP를로 분리 할 수 ​​있습니다 ,. 호스트 이름도 지원됩니다.

3. 염두에 두어야 할 또 다른 사항은 sshd_config의 ‘AllowUser’지시문입니다.

   AllowUsers

   이 키워드 다음에는 공백으로 구분 된 사용자 이름 패턴 목록이 올 수 있습니다. 지정된 경우, 패턴 중 하나와 일치하는 사용자 이름에 대해서만 로그인이 허용됩니다. ‘*’와 ‘?’ 패턴에서 와일드 카드로 사용할 수 있습니다. 사용자 이름 만 유효합니다. 숫자 사용자 ID가 인식되지 않습니다. 기본적으로 모든 사용자가 로그인 할 수 있습니다. 패턴이 USER @ HOST 형식 인 경우 USER 및 HOST를 별도로 검사하여 특정 호스트의 특정 사용자로 로그인을 제한합니다.

   기본적으로 사용자는 특정 위치에서만 로그인 할 수 있습니다. (와일드 카드도 허용하지만) 모든 문제를 해결하지는 않지만 적어도 다른 사람들에게는 어렵게 만듭니다.

답변

$ ssh-keygen -t dsa