Як мені керувати захищеним особистим ключем ssh?

14

Мені потрібно мати особистий ключ ssh, щоб:

  • Я можу створити резервну копію одного файлу, що містить мій приватний ключ, і відновити його, коли я виконаю нову інсталяцію.
  • Приватний ключ ніколи не зберігається в незашифрованому вигляді ніде, в тому числі у файлі, який я створюю резервну копію та відновлюю, але за необхідним винятком моєї оперативної пам’яті, коли я ним користуюся.
  • Хтось із фізичним доступом до моєї машини не може обов'язково використовувати мій приватний ключ. Мені потрібно вимагати ввести пароль, перш ніж він запрацює, бажано пароль до мого облікового запису користувача.
  • Не потрібно створювати резервні копії відкритого ключа. Я повинен мати можливість генерувати це з приватного ключа (але може знадобитися достатня інформація, щоб розшифрувати його).

Я знаю, що існує багато ресурсів, що пояснюють, як використовувати інструменти управління ключами ssh. Однак я вважаю їх досить складними, і я виявив, що не міг зберегти свій приватний ключ під час нових інсталяцій у минулому. Тож я б швидше почув кращі практики від того, хто має досвід робити саме те, що я хочу робити.

keyrings  ssh 
Вінсент Повірк
джерело

Відповіді:

9

Переглядаючи ваші бали:

  • Коли ви генеруєте ключ SSH, він зберігається у ~/.ssh/вигляді id_rsa(або id_dsa). Ви можете перемістити це з машини на машину, як хочете.

  • Ви можете забезпечити його шифрування за допомогою шифрування /home/. Існує кілька наборів інструкцій, як це зробити в Інтернеті, але (ніколи цього не робив сам) я не можу чесно запропонувати одне за іншим. Той, що знаходиться на UbuntuForums, здається таким же хорошим, як і будь-який інший. Робити це під час нового встановлення простіше (це можна зробити в інсталяторі), але це не потрібно.

  • Коли ви генеруєте ключове слово, переконайтеся, що ви встановили фразу. Це означає, що навіть якщо хтось отримає ваш приватний ключ, він все одно потребує цей маркер, щоб використовувати його.

  • ssh-keygen -eгенерує ваш хеш-код відкритого ключа з вашого приватного ключа. Зробіть так, вам не потрібно робити це резервним копієм (хоча це також не складе труднощів - це зберігається як ~/.ssh/id_rsa.pub).

Олі
джерело
Чи не встановлює ключ парольної фрази як шифрувальний ключ?
Вінсент Повірк
@Vincent Сорт, звичайно. Я не впевнений, наскільки параноїком ти намагаєшся бути тут. Якщо ви хочете звести до мінімуму шанс, щоб хтось інший потрапив до ключа, вставте його в зашифрований розділ. Якщо ви задоволені тим, що люди можуть отримати його (якщо вони отримують фізичний доступ), але не можете використовувати його без парольної фрази, ви можете пропустити цей крок.
Олі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.