it-swarm.asia

Apakah itu ide buruk untuk menggunakan kunci ssh pribadi yang sama pada banyak komputer?

Saya baru-baru ini membeli laptop dari mana saya perlu mengakses host jarak jauh yang sama yang saya lakukan dari desktop saya. Terpikir oleh saya bahwa mungkin saja menyalin file kunci privat dari desktop saya ke laptop saya dan menghindari keharusan menambahkan kunci baru ke file ~/.ssh/authorized_keys pada semua host yang ingin saya akses. Jadi pertanyaan saya adalah:

  1. Apakah ini mungkin?
  2. Apakah ada implikasi keamanan yang tidak jelas?
  3. Terkadang saya akan masuk ke desktop saya dari laptop saya. Jika ada yang menggunakan kunci yang sama, apakah itu akan menyebabkan masalah?
35
Jason Creighton

Ya, ini mungkin. Kunci pribadi Anda tidak terikat pada satu mesin.

Tidak yakin apa yang Anda maksud dengan tidak jelas, itu seringkali subjektif;). Sama sekali bukan ide yang buruk jika Anda memastikan Anda memiliki kumpulan kata sandi yang sangat kuat, setidaknya 20 karakter.

Tidak ada masalah tentang menghubungkan dengan kunci yang sama dengan desktop Anda. Saya akan mengatur agen ssh untuk kunci Anda di laptop, dan meneruskan agen ke desktop, jadi Anda akan menggunakan kunci itu pada sistem lain yang Anda akses dari sana.

Dari halaman manual ssh-agent pada sistem Linux:

ssh-agent adalah program untuk menyimpan kunci privat yang digunakan untuk otentikasi kunci publik (RSA, DSA). Idenya adalah bahwa ssh-agent dimulai pada awal sesi X atau sesi login, dan semua jendela atau program lainnya dimulai sebagai klien untuk program ssh-agent. Melalui penggunaan variabel lingkungan, agen dapat ditemukan dan secara otomatis digunakan untuk otentikasi ketika masuk ke mesin lain menggunakan ssh (1).

Anda akan menjalankan ini di laptop Anda, baik program ssh-agent di Linux/Unix (ia datang dengan OpenSSH), atau dengan agen Putty jika Anda menggunakan Windows. Anda tidak perlu agen berjalan di sistem jarak jauh, itu murni menyimpan kunci pribadi Anda di memori pada sistem lokal sehingga Anda hanya perlu memasukkan kata sandi Anda satu kali, untuk memuat kunci di agen.

Penerusan agen adalah fitur dari klien ssh (ssh atau PutTY) yang hanya bertahan agen melalui sistem lain melalui koneksi ssh.

29
jtimberman

Saya dulu menggunakan kunci pribadi tunggal di semua mesin saya (dan beberapa dari mereka saya hanya pengguna, bukan admin), tetapi baru-baru ini mengubah ini. Ini berfungsi memiliki satu kunci, tetapi berarti jika Anda perlu mencabut kunci (jika dikompromikan), maka Anda perlu mengubahnya di semua mesin.

Tentu saja, jika seorang penyerang mendapatkan akses dan dapat ssh ke komputer lain, mereka kemudian bisa mendapatkan kunci dari mesin itu, dan seterusnya. Tetapi itu membuat saya merasa sedikit lebih aman untuk mengetahui bahwa saya dapat mencabut hanya satu kunci, dan mengunci mesin itu. Itu berarti saya harus menghapus kunci dari file Authorized_keys, meskipun.

9