Останні кілька днів я намагався ознайомитись із SSH, і сподіваюся, що я це зрозумів.
Однак залишається одне питання - чи пов’язаний мій ключ (як користувач) зі мною (або користувачем) чи моїм обліковим записом користувача на машині?
Останні кілька днів я намагався ознайомитись із SSH, і сподіваюся, що я це зрозумів.
Однак залишається одне питання - чи пов’язаний мій ключ (як користувач) зі мною (або користувачем) чи моїм обліковим записом користувача на машині?
Відповіді:
У вас немає ключа, у вас є пара ключів. Як ви поводитесь із кожним, дуже відрізняється. Ваш відкритий ключ можна розмістити на Twitter і поділитися з усім світом (шахраї включені). Ваш приватний ключ повинен бути ретельно захищений.
У мене однаковий відкритий ключ на всіх серверах, до яких я отримую доступ через SSH.
Я зберігаю однаковий приватний ключ на двох настільних ПК та одній нетбуці, яку я використовую для доступу до цих серверів. Я також зберігаю приватний ключ на USB-накопичувачі для використання на інших комп'ютерах (не копіюючи їх на свій ПК). Я використовую сильну фразу для захисту приватного ключа. Немає причин, чому ви не могли просто зберегти приватний ключ лише на USB-накопичувачі (і більше ніде).
Приватний ключ представляє вашу особу. Чи мати різні ключі на різних машинах, залежить від того, чи вважаєте ви "я на машині A" і "я на машині B" однаковою особою.
Основна перевага наявності одного приватного ключа - простота обслуговування. Вам просто потрібно розгорнути один відкритий ключ у всіх місцях, де ви хочете увійти, і ви зможете ввійти туди з будь-якого місця.
Основна перевага наявності декількох приватних ключів - обмеження можливого пошкодження при порушенні ключа.
Наприклад, якщо у вас є кілька фізично захищених машин плюс ноутбук, було б доцільно мати загальний приватний ключ на всіх цих фізично захищених машинах, але інший ключ на ноутбуці. Таким чином, якщо викрадений ноутбук, ви можете визнати недійсним відповідний відкритий ключ і все одно мати можливість увійти з однієї з фізично захищених машин на іншу.
Для ssh, ключ (public + private) являє собою єдину ідентичність. Ви зберігаєте захищений приватний ключ на машинах, яким ви довіряєте, і можете захистити їх. Ви розміщуєте інформацію свого відкритого ключа на машини, до яких ви хочете мати можливість віддалено отримати доступ через аутентифікацію ключа.
Не слід ставити свій приватний ключ на машини, яким ви не довіряєте - тому просто копіювати .ssh / навколо може бути ризиковано.
На машинах, до яких ви хочете підключитися, ви розміщуєте копію відкритого ключа в певний файл (зазвичай .ssh / санкціонований_кейс), який дозволяє проводити аутентифікацію. Тож технічно ви не копіюєте нікуди ключі, ви просто копіюєте вміст лише свого відкритого ключа в інший файл.
Якщо припустити, що у вас є одна машина, якій ви довіряєте, і 12, до яких ви хочете підключитися, ви б помістили інформацію про свій відкритий ключ у файл .ssh / санкціонований_кіс на 12 машинах.
Пізніше у вас може бути інша машина, якій ви повністю довіряєте. Вибирати, чи створити для цієї машини нову пару публічних / приватних ключів і скопіювати відкритий ключ у 12 .ssh / санкціоновані_кейд-файли, чи скопіювати ваш приватний ключ на нову машину (в цей момент ви нічого не робите з 12 іншими машинами). Це залежить від того, наскільки ви довіряєте різним машинам, про які йдеться.
Я намагаюся мати якомога менше пар ключів, як це має сенс для безпеки, яку ви намагаєтеся досягти.
Ваша основна передумова є правильною, хоча пара ключів більше пов'язана з вами, ніж з обліковим записом (тобто ви можете поставити один і той же відкритий ключ у 3 облікові записи на сервері, а потім ssh на будь-який з них з вашої машини, лише єдиний приватний ключ).
Чи більше стосується моїх клавіатур (як людини) або моїх рахунків на локальній машині?
Клавіші пов’язані з будь-якими обліковими записами користувачів, на які ви їх встановите.
У вас однаковий ключ на всіх комп'ютерах, якими ви користуєтесь? Або різні для кожної машини?
Ви можете створити кілька клавіш для кожної машини або використовувати один і той же ключ скрізь; тобі вирішувати. Який з них робить мало різниці.