Google सुरक्षा के लिए GCE से SSH कुंजियों को हटाने की अनुशंसा क्यों करता है?


15

Google दस्तावेज़ीकरण के नीचे संदर्भ अब सत्य नहीं है।

Google SSH को सुरक्षित करने के लिए GCE उदाहरण से SSH कुंजियों को हटाने की सिफारिश करता है। इससे मुझे कोई मतलब नहीं है। चाबियाँ एक सुरक्षा के लिए हैं, है ना? जब मैं चाबियाँ हटाता हूं, तो SSHD काम करना बंद कर देती है। मुझे शायद उनकी बात याद आती है। क्या कोई समझा सकता है कि इससे क्या मतलब है:

Ssh होस्ट कुंजी निकालें

अपने उदाहरण के साथ ssh होस्ट कुंजियों का उपयोग न करें। उन्हें निम्नानुसार निकालें:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*

2
दस्तावेज़ सक्षम करने की अनुशंसा करता है StrictHostKeyCheckingऔर बाद में इसे अक्षम करने की अनुशंसा करता है। मुझे संदेह है कि यह बहुत सावधानी से संपादित दस्तावेज़ नहीं है। मेरी सलाह है कि अपने फैसले पर भरोसा रखें, और जब तक कोई अच्छा कारण न हो, मेजबान कुंजी का उपयोग करें।
किस्सा 17

@aecolley मैंने उस पर भी ध्यान दिया है। मैंने उन्हें एक प्रतिक्रिया प्रस्तुत की है। देखेंगे कि क्या वे मेरे पास वापस आते हैं।
मार्टिन प्रिक्रील

1
मैंने नीचे विस्तार से बताया है, लेकिन यह संदर्भ के लिए उबलता है - जिस पृष्ठ को आप देख रहे हैं वह नई छवियां बनाने के लिए सलाह दे रहा है, आमतौर पर मशीन को सुरक्षित करने के लिए नहीं। जब कारण स्पष्ट नहीं हो जाते हैं तो मुझे और अधिक विवरण शामिल करने के लिए डॉक्स अपडेट मिल जाएंगे और आप अपनी होस्ट कुंजियों को क्यों और कैसे हटाना चाहते हैं।
बेन्सन

जवाबों:


12

महत्वपूर्ण विवरण यह है कि आपके द्वारा संदर्भित पृष्ठ एक नई कम्प्यूट इंजन मशीन छवि बनाने के बारे में है। विशेष रूप से, जब आप एक नई वर्चुअल मशीन छवि बनाते हैं, तो आप यह सुनिश्चित करना चाहते हैं कि इसमें कोई होस्ट कुंजी शामिल न हो। इस तरह, जब छवि को क्लोन किया जाता है और वास्तविक वीएम में पुनर्गठित किया जाता है, तो sshd स्टार्टअप स्क्रिप्ट यह पहचान लेगी कि कोई होस्ट कुंजी नहीं है, और स्वचालित रूप से नए उत्पन्न करते हैं। यह वांछनीय है क्योंकि एक ही मेजबान कुंजी का उपयोग करने वाली कई मशीनें एक बहुत बुरा विचार है।

इसलिए, सामान्य स्थिति में, कृपया अपनी होस्ट कुंजियों को हटाना न भूलें, लेकिन यदि आप एक नई छवि बना रहे हैं, तो यह सुनिश्चित करने के लिए एक महत्वपूर्ण कदम है कि मेजबान कुंजी और मशीनों के बीच एक-से-एक संबंध है।


1
धन्यवाद। यह समझ में आता है। हालांकि कुछ स्पष्टीकरण से मदद मिलेगी। "अपने उदाहरण के साथ ssh होस्ट कुंजियों का उपयोग न करें।" वास्तव में एक भ्रमित करने वाला वाक्यांश है।
मार्टिन प्रिक्रील

मैं पूरी तरह से सहमत हूं - इस ओर इशारा करने के लिए बहुत बहुत धन्यवाद। मैंने वास्तव में डॉक्स को एक अद्यतन प्रस्तुत किया है, जिससे मुझे स्पष्ट हो जाएगा कि मुझे संदेह है कि मुझे जल्द ही बाहर कर दिया जाएगा।
बेंसन

1
अपडेट किए गए डॉक्स अब लाइव हैं: Developers.google.com/compute/docs/images#removesshkeys
Benson

13

एकमात्र संभावित कारण जो मैं सोच सकता हूं, वह यह है कि वे आपको नई चाबियों को फिर से बनाने के लिए मजबूर करना चाहते हैं।
चूंकि इन कुंजियों को आपके द्वारा उपयोग किए जाने से पहले उत्पन्न किया गया था, इसलिए उन पर भरोसा नहीं किया जा सकता है।
उन्हें हटाने और पुनः आरंभ करने sshdसे आपके लिए कुंजी पुनः प्राप्त हो जाएगी।
हालाँकि दस्तावेज़ वास्तव में यह स्पष्ट नहीं करता है।

यह शुद्ध अटकलें हैं और उनसे संपर्क करना और इस पर स्पष्टीकरण प्राप्त करना बेहतर होगा।


4
आपके प्रतिक्रिया के लिए धन्येवाद। मुझे पुनः आरंभ करने के लिए सर्वर पर ssh करने की आवश्यकता है sshd। लेकिन कनेक्ट करने के लिए मुझे "अविश्वसनीय" सर्वर की होस्ट कुंजी को स्वीकार करने की आवश्यकता है। इस सत्र के दौरान मैं जो कुछ भी करता हूं उस पर भरोसा नहीं किया जा सकता है। यहां तक ​​कि sshd का पुनः आरंभ। सही?
मार्टिन प्रिक्रील

1
मुझे लगता है कि मुख्य चिंता यह होगी कि किसी कारण से किसी अन्य ग्राहक को आपकी जैसी ही कुंजी मिलती है (ध्यान दें: यह उन्हें आपके उदाहरण तक पहुंचने में सक्षम नहीं बनाता है, लेकिन यह आपको बीच-बीच में हमला करने में आसान बनाता है)। यदि आप छवि के प्रदाता पर भरोसा नहीं करते हैं, तो आपको वहां कुछ भी नहीं चलाना चाहिए (वे व्यावहारिक रूप से भौतिक पहुंच हैं)।
faker

1
IIRC वहाँ कुछ शोध किया गया है जो दर्शाता है कि कुछ प्रणालियों में एन्ट्रापी की गुणवत्ता, विशेष रूप से एम्बेडेड है, लेकिन इसमें नए सिरे से शुरू की गई आभासी मशीनों की कुछ श्रेणियां भी शामिल हो सकती हैं, बहुत अधिक नहीं है। जब सार्वजनिक कुंजी पहले बूट पर उत्पन्न होती है, जैसे कि SSH होस्ट कीज़ कीज़, जो कि अनुमानित हो सकती हैं।
HBruijn

@HBruijn टिप्पणी के लिए धन्यवाद। लेकिन उन्हें हटाने और sshd को पुनः आरंभ करने पर फिर से बनाने देना उन्हें बेहतर नहीं बनाता है। आपको अपना खुद का अपलोड करना होगा। लेकिन वह दस्तावेज में शामिल नहीं है।
मार्टिन प्रिक्रील

1
मैंने Google को एक फ़ीडबैक सबमिट किया है। देखेंगे कि क्या वे मेरे पास वापस आते हैं।
मार्टिन प्रिक्रील
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.