क्या मुझे प्रत्येक सिस्टम पर एक नई निजी ssh कुंजी बनानी चाहिए?

मुझे SSH के माध्यम से कई उपकरणों से कई सर्वरों से जुड़ने की आवश्यकता है। मैं सोच रहा हूं कि क्या मैं प्रत्येक डिवाइस पर एक नई id_dsa फ़ाइल बना रहा हूं, जिससे मैं कनेक्ट कर रहा हूं, या यदि प्रत्येक डिवाइस पर एक ही id_dsa फ़ाइल को कॉपी करने में कोई समस्या नहीं है।

उदाहरण के लिए, मेरे पास अपना प्राथमिक उबंटू-आधारित डेस्कटॉप सिस्टम और ssh के साथ एक मैकबुक प्रो है। और मेरे पास एक विंडोज आधारित नेटबुक है जिसमें पुट्टी स्थापित है। और मेरे पास ConnectBot वाला एक Android फ़ोन है। इनमें से किसी भी एक डिवाइस से, मुझे दर्जनों विभिन्न भौतिक और आभासी सर्वरों में SSH की आवश्यकता हो सकती है।

प्रत्येक सर्वर को मेरी सार्वजनिक कुंजी स्थापित करनी होगी। इसके अलावा, मेरे GitHub और Codaset खातों को मेरी सार्वजनिक कुंजी की आवश्यकता है।

मुख्य प्रबंधन को सरल बनाने के लिए, मैं इन सभी प्रणालियों पर समान निजी कुंजी का उपयोग करने के बारे में सोच रहा हूं। क्या यह सामान्य अभ्यास है, या प्रत्येक प्रणाली पर एक निजी कुंजी रखना बेहतर है?

यदि आप प्रत्येक सिस्टम पर एक ही सार्वजनिक कुंजी का उपयोग करते हैं और निजी कुंजी से छेड़छाड़ हो जाती है, तो उस कुंजी का उपयोग करने वाला कोई भी सिस्टम, अन्य प्रतिबंधों को छोड़कर, सुलभ हो जाएगा।

मुझे विश्वास है कि आप पासवर्ड संरक्षित निजी कुंजी का उपयोग कर रहे हैं?

हमारे प्रबंधन अभ्यास में, हमारे पास कम, मध्यम और उच्च सुरक्षा "भूमिकाएं" हैं। प्रत्येक भूमिका एक अलग कुंजी का उपयोग करती है। उच्च सुरक्षा निजी चाबियों को कभी भी बाहरी संपत्तियों पर प्रेषित नहीं किया जाता है, उन लैपटॉप पर उपयोग किया जाता है जो खो जाने / चोरी हो सकते हैं, आदि मध्यम और निम्न सुरक्षा कुंजी परिदृश्यों की एक विस्तृत श्रृंखला में तैनात की जा सकती हैं।

मेरा सुझाव है कि अपने उपयोग पैटर्न की जांच करें और देखें कि सुरक्षा भूमिका के संदर्भ में क्या बनाता है। आपकी निजी कुंजी प्राप्त करने से क्या नुकसान है?

क्या आपने अपनी SSH निजी कुंजी को एक हार्डवेयर डिवाइस पर रखने पर विचार किया है जिससे वह चोरी नहीं की जा सकती, कुंजी के संभावित समझौते को गैर-मुद्दे में हटा दिया जाए?

हार्डवेयर सुरक्षा मॉड्यूल और स्मार्ट कार्ड दोनों का उपयोग एसएसएच निजी कुंजी को सुरक्षित तरीके से स्टोर करने के लिए किया जा सकता है, जिससे आपके ऑपरेटिंग सिस्टम के बजाय डिवाइस पर किए जाने वाले सभी क्रिप्टोग्राफ़िक संचालन सक्षम हो सकते हैं। हालाँकि, वे रामबाण नहीं हैं, क्योंकि इनमें हार्डवेयर विफलता के मामले में भी बैकअप हार्डवेयर उपकरणों की आवश्यकता होती है।

बिलकुल आपको चाहिए। आप हमेशा अपनी अधिकृत_कीs2 फ़ाइल में सभी कुंजी जोड़ सकते हैं। मुझे jeffatrackaid का सुझाव पसंद है। हालाँकि, मैं प्रत्येक डिवाइस के लिए अलग-अलग निजी कुंजियों का उपयोग करूँगा - क्यों नहीं। अपना Android खोएं। सरल, कुंजी को अधिकृत कुंजी की सूची से हटा दें। यदि आप नहीं करते हैं, तो आपको उस स्तर को फिर से बनाना होगा।

उस ने कहा, यह इस बात पर निर्भर करता है कि आप इन परिसंपत्तियों के जोखिम को कैसे समझते हैं। जाहिर है आप चाबियों को खोना नहीं चाहते हैं, लेकिन कुछ उदाहरण के लिए, आप अपने वीपीएस के लिए रूट बनाम जीथब बनाम अधिक जोखिम को उजागर कर सकते हैं।

क्या आपको याद है कि एसएसएच कीज पैदा करते समय डेबियन को वह छोटी सी एन्ट्रापी समस्या थी? यह तब था जब मैंने अपना सबक अच्छी तरह से सीखा।

मेरे पास अपने स्वयं के सामान के लिए मेरी निजी कुंजी है, जैसे कि मेरे व्यक्तिगत सर्वर में होना। मेरे पास मेरी "ऑल पर्पस" कुंजी है जो मुझे अपने अधिकांश विकास पेटियों में मिलती है, फिर प्रति ग्राहक कि मैं सेवा में कटौती करता हूं।

मैं इस बात की बहुत विस्तृत सूची रखता हूं कि किस मशीन पर क्या चाबियाँ हैं, बस अगर मुझे जल्दी में उन्हें बदलना या निकालना है।

बाकी सब कुछ जो गंभीर है, मैं सिर्फ LDAP / PAM का उपयोग करता हूं, अगर मुझे किसी और को जल्दी में निकालना है ।