SSH कुंजी जोड़ी को स्थानीय स्तर पर अपदस्थ करने की विधि

10

मैंने थोड़ी देर के लिए अपने ssh- कीज़ का उपयोग किया है। मैं अपनी ssh कुंजी जोड़ी को एक मजबूत एन्क्रिप्शन में अपग्रेड करने के बारे में सोच रहा हूं और मैं उन सभी उपकरणों को नहीं जानता जहां मेरी कुंजी पंजीकृत है।

क्या यह स्थानीय स्तर पर SSH कुंजी को "पदावनत" करने के लिए पॉसिबल है , ताकि मुझे एक चेतावनी SSH कुंजी से प्रमाणित हो तो?

security  ssh-keys 
tim0_o
स्रोत
जब आप इस पर होते हैं, तो मैं आपको सुझाव दूंगा कि आप कई मेजबानों के लिए एक ही SSH कुंजी का उपयोग करना बंद करें; यह हमले की सतह के साथ-साथ एक ब्रीच की स्थिति में उस कुंजी के मूल्य को अनावश्यक रूप से बढ़ाता है। इसके बजाय, आपके द्वारा कनेक्ट किए गए प्रत्येक होस्ट के लिए एक कुंजी का उपयोग करें; आदर्श रूप से, प्रत्येक क्लाइंट और सर्वर जोड़ी के लिए एक कुंजी का उपयोग करें (लेकिन यदि आप कई क्लाइंट सिस्टम को कई सर्वर से कनेक्ट कर रहे हैं तो यह खराब है)। मैं टिप्पणी या कुंजी नाम में पीढ़ी की तारीख के साथ कुंजियों को टैग करना भी पसंद करता हूं, जिससे मुझे पता चलता है कि वे कितने पुराने हैं। फिर हर 6-24 महीनों में एक आवर्ती अनुस्मारक सेट करें ताकि आपके कैलेंडर में नवीनीकरण हो सके।
बजे एक CVn
@ माइकलकॉर्जलिंग मैं आपके सुझाव के पहले भाग से असहमत हूं। बहुत सारी कुंजी जोड़ी बनाना जहाँ सभी निजी कुंजी एक ही अनुमतियों के साथ एक ही मशीन पर संग्रहित हैं, कोई महत्वपूर्ण सुरक्षा सुधार प्रदान नहीं कर रही है। यदि किसी से समझौता किया जाता है, तो संभवत: उनमें से बाकी के साथ भी समझौता किया जाता है। और उस मामले में कई प्रमुख जोड़े होने का मतलब है कि एक बार आपको एक नया कुंजी जोड़ी बनाने के लिए एक कारण देखने के लिए उन्हें घुमाने के साथ और अधिक काम करना होगा। टिप्पणी में एक पीढ़ी की तारीख को जोड़ने के बारे में अच्छी सलाह है (मेरी इच्छा ssh-keygenहै कि डिफ़ॉल्ट रूप से ऐसा होगा)।
कास्परड
@kasperd आप एक अच्छा बिंदु बनाते हैं। मुझे लगता है कि हमेशा की तरह, यह आपके खतरे के मॉडल पर बहुत निर्भर करता है। मुझे संदेह है कि मेरा अनुमान है कि चाबियों के पास अलग-अलग पासफ़्रेज़ होंगे, जिन्हें मैं देख सकता हूं कि बड़ी संख्या में चाबियां हमेशा व्यावहारिक नहीं हो सकती हैं, जब तक कि आप मिश्रण में पासवर्ड प्रबंधक जोड़ने के लिए तैयार न हों। यह है हालांकि, कुछ की अनुमति देने के बहुत क्या ओपी वर्णन है के करीब के बाद से एक प्रमुख कर सकते हैं अन्य कनेक्शन को प्रभावित किए बिना "पदावनत" जा बहुत आसानी से। मुझे अंत में संदेह है, यह व्यक्तिगत स्वाद का मामला है।
बजे एक CVn

जवाबों:

9

मुझे इस तरह से कुछ करने का कोई तरीका नहीं पता है, लेकिन मैं देख सकता हूं कि यह कैसे उपयोगी होगा। मैं क्या करने के लिए इच्छुक हूँ अपने SSH एजेंट को पदावनत कुंजी जोड़ने से रोकने के लिए है। इस तरह, हर बार इसका उपयोग होने पर, मुझे पासफ़्रेज़ को फिर से दर्ज करना होगा। अगर यह कुछ ऐसा है, "ऊ, एक और एक को ठीक करने के लिए", तो यह मुझे हर बार याद दिलाएगा कि मुझे उस मशीन पर अपनी कुंजी घुमाने के लिए जाना है।

वमन
स्रोत
इस संबंध में यह उपयोगी हो सकता है (डिस्ट्रो / डीई पर निर्भर करता है) फ़ाइल को किसी अन्य निर्देशिका में ले जाने के लिए, उदाहरण के लिए सीहोरस~/. ssh स्वचालित रूप से सभी कुंजियों का उपयोग करता है ।
गुंटबर्ट
1
जो कुछ भी करता है उसे जला दिया जाना चाहिए। इसका अर्थ है कि आपके पास छह से अधिक कुंजियाँ हैं (मुझे एक दर्जन मिल गए हैं) आप बहुत अधिक विफलताओं के कारण असफलता को समाप्त करेंगे (हर कुंजी जो प्रस्तुत की गई है और असफल गणना की ओर गिना जाता है)।
Womble
5

आप पुरानी ssh कुंजी को एक गैर-डिफ़ॉल्ट स्थान पर ले जा सकते हैं (जैसे, ~ / .ssh / deprecated_id_rsa) और फिर ~ / .ssh / id_rsa पर अपने इच्छित गुणों के साथ एक नई ssh कुंजी बनाएँ।

इस तरह से यदि आवश्यक हो तो आपके पास अभी भी अपनी पदावनत कुंजी उपलब्ध है ssh -i ~/.ssh/deprecated_id_rsa ..., लेकिन आप अपनी नई कुंजी का उपयोग करने के लिए डिफ़ॉल्ट होंगे।

पैर की अंगुली
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.