SSH: Apakah Anda menggunakan satu pasangan kunci pribadi / publik untuk setiap mesin jarak jauh? Atau satu pasangan untuk semua?


23

Ketika Anda ingin memiliki login ssh berbasis kunci publik untuk beberapa mesin, apakah Anda menggunakan satu kunci pribadi, dan meletakkan kunci publik yang sama di semua mesin? Atau apakah Anda memiliki satu pasangan kunci privat / publik untuk setiap koneksi?


@ Jim Zajkowski: Saya tidak yakin bagaimana membalas komentar Anda tetapi ini untuk Anda. Kotak lompatan memungkinkan akses terkontrol ke server yang menghadap internet yang ada di DMZ (di belakang firewall). Katakanlah Anda memiliki "server_a" dan "server_b". A ada di jaringan dan B di luar jaringan. Pelanggan luar terhubung ke B. Lalu lintas yang beralih dari A ke B perlu dikontrol dan sebaliknya. Jadi, Anda menambahkan kotak lompatan yang memiliki dua kartu jaringan. Satu yang menghubungkannya ke jaringan internal (A) dan satu yang menghubungkannya ke jaringan eksternal (B). Jadi dari A Anda pergi ke kotak melompat dan kemudian ke B. Salah satu manfaat dari

@IMTheNachoMan - Saya telah mengonversi jawaban Anda menjadi komentar, meskipun tempat terbaik untuk itu adalah sebagai komentar langsung di dalam jawaban yang memegang komentar yang Anda respons (yang membuat saya sedikit pusing). Jika Anda memiliki pertanyaan, mampir ke meta dan tanyakan. Terima kasih atas klarifikasinya.
Kara Marfia

Jawaban:


27

Saya menggunakan satu kunci per set sistem yang memiliki batas administratif yang sama. Ini membatasi jumlah mesin yang muncul jika kunci dikompromikan, sementara tidak sepenuhnya melebihi kapasitas saya untuk menyimpan dan mengelola beberapa ribu kunci. Frasa sandi yang berbeda pada setiap kunci berarti bahwa bahkan jika semua kunci pribadi Anda dicuri dan satu kunci dikompromikan, sisanya tidak turun ke toilet dengannya. Juga, jika Anda melakukan sesuatu yang bodoh (seperti menyalin kunci pribadi ke mesin yang tidak dipercaya), sekali lagi Anda tidak perlu merekam ulang semuanya, hanya mesin yang terkait dengan kunci itu.


4

Kunci publik tidak terlalu penting, karena, menurut definisi, itu dapat dipublikasikan. Jadi satu-satunya masalah adalah privasi kunci pribadi Anda. Mereka ada di mesin Anda sendiri, dan semuanya bersama-sama, jadi jika ada yang dikompromikan, kemungkinan mereka semua akan dikompromikan. Oleh karena itu, beberapa keypairs hanya berfungsi untuk efek yang sama.

Satu-satunya waktu saya akan menggunakan kunci yang berbeda adalah untuk akun yang berbeda atau peran yang berbeda, yang menurut definisi seharusnya tidak sepenuhnya tumpang tindih dalam akses.


2

Jika saya mengerti dengan benar, setiap server akan memiliki kunci publik sendiri.

Untuk pengguna tertentu , Anda dapat membuat satu kunci dan menggunakannya di mana saja, selama kunci pribadi direplikasi ke semua host yang memulai. (Ini akan terjadi secara otomatis melalui direktori home yang dipasang di jaringan dan sistem otentikasi berbasis direktori seperti OpenLDAP karena pengguna akan selalu "sama" terlepas dari apa workstation tempat mereka masuk.)

Di luar sistem pengguna berbasis direktori, saya pikir itu adalah Ide Buruk ™ untuk menggunakan kunci yang sama di mana saja - Anda berakhir dengan pengurangan bersih dalam keamanan sistem, karena siapa pun yang bisa mendapatkan kunci dari salah satu workstation kemudian dapat mengotentikasi sebagai pengguna itu ke server jarak jauh.

Alternatif lain, diterapkan oleh beberapa perusahaan besar (dan saya yakin juga perusahaan kecil) adalah untuk tidak pernah mengizinkan "pengguna" menggunakan kunci yang dibagikan sebelumnya, tetapi kemudian masuk ke kotak "lompat" atau "hub" , suke pengguna penghubung yang sesuai, dan kemudian SSH dari sana ke server yang perlu mereka kelola.

Juga, jika Anda menggunakan sistem manajemen seperti platform Automation Server HP, maka administrasi jarak jauh dari server yang dikelola menjadi proses yang lebih disederhanakan.


1
Semua orang harus menjaga kunci mereka dienkripsi. Bisakah Anda menjelaskan manfaat keamanan dari "kotak melompat," karena saya tidak melihatnya.
Jim Zajkowski

seperti yang diterapkan di beberapa bank saya telah terkena, dan di tempat lain, ide di balik "kotak melompat" adalah bahwa Anda tidak dapat mengakses server di DMZ atau subnet dll dengan pengguna "normal" Anda. Anda terhubung ke kotak lompatan, lalu dalam bentuk log, su ke pengguna manajemen untuk terhubung ke jaringan lain.
warren

2
Manfaat Keamanan == 0, dengan kata lain.
womble

@ Womble - mungkin itu benar. Tapi itulah yang dilakukan banyak perusahaan paranoid. Karena susesi ini dicatat, ia bisa diaudit.
warren

1
mengapa hanya susesi yang diaudit dan bukan yang lainnya?
João Portela

1

Seperti yang dikatakan orang lain, meskipun gagasan beberapa pasangan kunci mungkin tampak lebih aman, jika ada kemungkinan mereka akan digunakan sedemikian rupa sehingga mereka semua berada di tempat yang sama maka itu hanya lebih merepotkan dan tidak lebih aman. Beberapa frasa sandi akan membuatnya lebih aman tetapi juga sakit kepala besar mencoba mengingat frasa sandi mana yang cocok dengan kunci mana, dan kunci mana yang sesuai dengan server mana.

Jawaban yang paling masuk akal bagi saya adalah jawaban yang disarankan HANYA jika melibatkan peran administratif terpisah tanpa banyak tumpang tindih. Sehingga bisa jadi orang yang berbeda menangani peran yang berbeda, atau pada stasiun kerja yang berbeda atau apa pun. Dalam hal ini Anda memiliki hal-hal yang lebih unik untuk ditangani untuk setiap peran yang berbeda sehingga lebih dapat dibenarkan.


0

Untuk kemudahan mengelola beberapa server berkemampuan SSH, Anda mungkin ingin memeriksa cssh . Anda dapat menggabungkan cssh dengan kunci SSH frasa sandi untuk sangat meningkatkan kemampuan Anda mengelola beberapa server secara bersamaan.


2
Bagaimana Anda bisa mendapatkan "bug gila" dalam loop yang dimuliakan?
womble

Sesuatu tentang itu tampaknya sangat mematikan - Jika Anda melakukan kesalahan, Anda mengacaukan semua server Anda sekaligus, bukan hanya satu!
Nick

@Nick - benar, tapi itu hampir selalu terjadi ketika saya bertanggung jawab atas kotak =) @womble - ya? untuk apa "bug gila" yang Anda rujuk?
Greeblesnort

1
Di bagian atas halaman proyek yang Anda tautkan ke: "CATATAN: Saya akan segera kembali ke proyek ini sehingga saya dapat memperbaiki bug gila di dalamnya." Fakta bahwa pemberitahuan masih ada di sana dua tahun kemudian tidak meningkatkan kepercayaan saya pada hal itu lebih jauh.
womble
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.