Проблема безпеки з повторним використанням ключів rsa_id

Я налаштовував багато віртуальних машин для різних проектів, над якими працюю. Замість використання ssh-keygen на кожній машині я копіював файл id_rsa з однієї зі своїх машин на всі інші, які я налаштовував.

Таким чином, мені не потрібно завантажувати свій rsa_id.pub для кожної нової машини на мій сервер або додавати їх на інші сервери, на які я хочу потрапити.

Це жахлива ідея? Чи повинен я просто генерувати новий ключ для кожного VM?

SSH має функцію під назвою "переадресація агента". Якщо це ввімкнено, і якщо на машині A працює SSH-агент із завантаженим у нього ключем, ви можете SSH на машину B, від B до C, від C до ..., не копіюючи приватний ключ нікуди крім машини А.

Це дуже добре працює, якщо у вас є своя робоча станція (A), з якої ви підключаєтесь до всіх [віртуальних] машин.

machineA$ ssh-add
Enter passphrase for /home/grawity/.ssh/id_rsa:
Identity added: /home/grawity/.ssh/id_rsa

machineA$ ssh -A machineB

machineB$ ssh -A machineC

machineC$ ssh-add -l
4096 50:08:e7:0c:0e:7b:2b:47:88:9e:d5:11:7b:f6:ce:f5 /home/grawity/.ssh/id_rsa (RSA)

Ви можете його активувати постійно, додавши ForwardAgent=yesпід відповідний Hostрядок ( Host *для всіх з'єднань) в ~/.ssh/config.

id_rsa - ваш приватний ключ.

Ви робите це на додаток до того, щоб додати id_rsa.pub до всіх своїх ~ ~ / .ssh / known_hosts? Якщо ні, то це мало сенсу, оскільки ви все одно не зможете переходити між ними без паролів.

Особисто я б створив окремі ключі для кожного користувача та хоста, як це потрібно для того, щоб підтримувати дрібнозернистий доступ, використовуючи переадресацію агента для вашої власної адміністрації.