Действительно ли это - плохая идея использовать тот же частный ssh, включают несколько компьютеров?
Я недавно купил ноутбук, от которого я должен получить доступ к тем же удаленным хостам, которые я делаю от своего рабочего стола. Мне пришло в голову, что могло бы быть возможно просто скопировать файл секретных ключей с моего рабочего стола на мой ноутбук и избежать необходимости добавлять новый ключ к ~/.ssh/authorized_keys файлы на всех хостах я хочу получить доступ. Таким образом, мои вопросы:
- Это даже возможно?
- Есть ли какие-либо неочевидные последствия безопасности?
- Иногда я буду входить в свой рабочий стол от моего ноутбука. Если бы там использовали тот же ключ, который вызвал бы какие-либо проблемы?
2 ответа
Да, это возможно. Ваш закрытый ключ не связывается с единственной машиной.
Не уверенный, под чем Вы подразумеваете неочевидный, это часто субъективно ;). Это не плохая идея вообще, если Вы удостоверяетесь, что Вам установили очень сильный пароль, 20 символов, по крайней мере.
Нет никаких проблем о соединении с тем же ключом как Ваш рабочий стол. Я настроил бы ssh агент для Вашего ключа на ноутбуке и передал бы агент рабочему столу, таким образом, Вы будете использовать, которые включают другие системы, к которым Вы получаете доступ оттуда.
Из страницы справочника ssh-агента в системе Linux:
ssh-агент является программой для удержания закрытых клавиш, используемых для аутентификации с открытым ключом (RSA, DSA). Идея состоит в том, что ssh-агент запускается в начале X-сессии или сессии входа в систему, и все другие окна или программы запускаются как клиенты к программе ssh-агента. Посредством использования переменных среды агент может располагаться и автоматически использоваться для аутентификации при входе других машин с помощью ssh (1).
Вы выполнили бы это на своем ноутбуке, любой программа ssh-агента на Linux/Unix (это идет с OpenSSH), или с агентом ШПАКЛЕВКИ при использовании Windows. Вам не нужен агент, работающий ни на каких удаленных системах, это просто сохраняет Ваш закрытый ключ в памяти в локальной системе, таким образом, только необходимо ввести пароль одно время, для загрузки ключа в агенте.
Передача агента является функцией ssh клиента (ssh или шпаклевка), который просто сохраняет агент до других систем посредством соединения SSH.
Я раньше использовал единственный закрытый ключ через все мои машины (и некоторые из них, я - пользователь только на, не администратор), но недавно изменил это. Это работает, имея один ключ, но означает, необходимо ли отменить ключ (если это поставлено под угрозу), затем необходимо будет изменить его на всех машинах.
Конечно, если взломщик получает доступ и может к ssh в другую машину, они могут затем получить ключ от той машины и так далее. Но это заставляет меня чувствовать себя немного более в безопасности знать, что я могу отменить всего один ключ и заблокировать ту машину. Это действительно означает, что я должен удалить ключ из authorized_keys файла, все же.