Якщо я створюю налаштування ключа SSH для abcкористувача, abcможу увійти на віддалений сервер без запиту пароля.
З тим самим abcналаштуванням SSH, чи може інший користувач defтакож SSH віддалений сервер без запиту пароля?
Я маю на увазі, кожен користувач повинен встановити ключ SSH з віддаленим сервером, якщо він хоче підключитися без підказок пароля?
Відповіді:
.ssh/authorized_keysфайлі будь-якого загального користувача, до якого користувач потребує доступу.Ваше питання стосується незрозумілого, але я спробую розширити деякі речі, які ви говорите.
По-перше, користувач та ключ - це дві різні речі. У одного користувача може бути багато ключів, або багато користувачів можуть використовувати один і той же ключ. Все залежить від того, з яким рівнем доступу ви можете мати справу та з чим ви очікуєте, що інші отримають завдяки доступу без пароля.
Взагалі, обмін одним і тим же ключем з різними користувачами - це не чудова ідея з точки зору безпеки. Скажімо, ви хочете відкликати доступ одному користувачеві ... Як би ви це зробили? Єдиним ефективним способом зробити це було б видалення ключа з сервера ... Але тоді вам доведеться створити новий ключ SSH і знову поділитися ним з іншими користувачами.
Найкраща ставка для загального використання - дати кожному користувачеві свій ключ.
Але оскільки ключі та користувачі - це різні речі, ви завжди можете мати віддаленого користувача бути загальним і просто додавати / видаляти ключі за потреби.
Наприклад, багато налаштувань кодування дозволяють багатьом користувачам використовувати звичайного deployкористувача, який адміністратор (або відповідальний особа) додає / видаляє ключі на вимогу. Кожен, хто розгортає код, зробить це через deployкористувача і може зробити це, оскільки їх відкритий ключ додається до .ssh/authorized_keysфайлу в deployобліковому записі користувача. А якщо працівник покидає компанію або є. більше не підключений до проекту? Просто видаліть їх конкретний ключ, і життя продовжується.
Але в цілому кожен користувач повинен мати власні SSH-ключі, і тоді використання цих ключів - через щось на зразок загального / загального облікового запису користувача на сервері - це спосіб управління доступом.
Не без зусиль порушити безпеку SSH. У кожного користувача є власний приватний ключ у власному каталозі (крім SSH-хостового ключа, що зберігається в іншому каталозі). Для того, щоб хтось інший використовував ваш приватний ключ SSH, їм потрібно було б мати можливість його читати, а SSH, як правило, не працює, коли мають відкриватися дозволи на цей ключ.
Також зауважте, що існує різниця між паролем, який пов’язаний з обліковим записом користувача на сервері SSH і вважається слабким захистом, і парольною фразою, яка використовується для захисту приватного ключа, що зберігається в клієнті і пов'язана з сеансом користувача, і який напевно ви маєте на увазі.
Якщо, звичайно, можуть бути приховані невідомі вразливості, які можуть дозволити користувачеві якось отримати приватний ключ, читаючи пам'ять, яка не є належним чином захищеною, але це не те, що Джо Середній може зробити.