Питання безпеки щодо відображення приватного ключа ssh


14

Я зробив величезну помилку, або, принаймні, я думаю, що це зробив: я "котів" свій приватний ключ SSH

cat ~/.ssh/id_rsa

Зараз я боюся, що я створив захисну дірку, що дозволяє іншим користувачам бачити мій приватний ключ, переглядаючи історію bash / scrollback або використовуючи інші методи. Отже, мої запитання:

  1. Чи дійсно я поставив під сумнів безпеку свого ключа SSH?
  2. Чи існують "достатньо безпечні" способи виправлення, виключаючи очевидний (і найбезпечніший) спосіб створення нового ключа?

(ПРИМІТКА. Я єдиний користувач машини, тому насправді це не стосується мого конкретного випадку, але я вважав, що це буде цікавим питанням.)

Відповіді:


20

Якщо ви робили це приватно, немає жодних проблем. Подумайте про це - ви на екрані відображаєте лише ті самі дані, які вже зберігаються на вашому жорсткому диску. І якщо хтось міг отримати доступ до вашої прокрутки або вашої історії, він також міг би прочитати id_rsaфайл безпосередньо.

  • Крім того, історія вашої оболонки - навіть якщо вона була читабельна для інших користувачів (що це не так) - містить лише команди, а не їх вихід. Тому все, що у нього буде, - це рядок із cat ~/.ssh/id_rsaним.

  • Історія прокрутки для більшості терміналів повністю зберігається в пам'яті. (Термінали на основі libvte іноді використовують резервний файл у / tmp, але це або tmpfs, або все-таки розташований на тому ж диску, що і ваш ~ / .ssh, у будь-якому випадку ...) Тож це стає неактуальним після закриття терміналу. І будь-який спосіб доступний вам, звичайно.

  • І дуже часто сам приватний ключ зашифрований парольною фразою і є непридатним, якщо ви не розшифруєте його, коли sshзапитуєте.

Якщо, звичайно, ви цього не робили за наявності камер безпеки високої роздільної здатності або навіть прямо не дозволяли комусь зробити фотографію вашого вікна терміналу. У такому випадку хтось може повторно ввести ключ із фотографій, і єдине, що захищає його, - це парольна фраза для шифрування.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.