जब आप कई मशीनों के लिए सार्वजनिक कुंजी आधारित ssh लॉगिन करना चाहते हैं, तो क्या आप एक निजी कुंजी का उपयोग करते हैं, और सभी मशीनों पर एक ही सार्वजनिक कुंजी रखते हैं? या आपके पास प्रत्येक कनेक्शन के लिए एक निजी / सार्वजनिक कुंजी जोड़ी है?
जब आप कई मशीनों के लिए सार्वजनिक कुंजी आधारित ssh लॉगिन करना चाहते हैं, तो क्या आप एक निजी कुंजी का उपयोग करते हैं, और सभी मशीनों पर एक ही सार्वजनिक कुंजी रखते हैं? या आपके पास प्रत्येक कनेक्शन के लिए एक निजी / सार्वजनिक कुंजी जोड़ी है?
जवाबों:
मैं सिस्टम के प्रति सेट एक कुंजी का उपयोग करता हूं जो एक सामान्य प्रशासनिक सीमा साझा करती है। यह उन मशीनों की संख्या को सीमित करता है जो एक कुंजी से छेड़छाड़ करने पर पॉप हो जाती हैं, जबकि कई हजार कुंजियों को संग्रहीत करने और प्रबंधित करने की मेरी क्षमता पूरी तरह से भारी नहीं होती है। प्रत्येक कुंजी पर अलग-अलग पासफ़्रेज़ का अर्थ है कि भले ही आपकी सभी निजी कुंजी चोरी हो जाएं और एक कुंजी समझौता कर ली जाए, बाकी इसके साथ शौचालय में न जाएं। इसके अलावा, अगर आप कुछ बेवकूफी करते हैं (जैसे एक अविश्वसनीय मशीन पर एक निजी कुंजी की प्रतिलिपि बनाएँ), तो फिर से आपको सब कुछ फिर से करने की ज़रूरत नहीं है, बस उस कुंजी से जुड़ी मशीनें।
सार्वजनिक कुंजी ज्यादा मायने नहीं रखती है, क्योंकि परिभाषा के अनुसार, इसे प्रचारित किया जा सकता है। तो एकमात्र मुद्दा आपकी निजी कुंजी की गोपनीयता है। वे आपकी अपनी मशीन पर हैं, और सभी एक साथ हैं, इसलिए यदि किसी से समझौता किया जाता है, तो संभावना है कि वे सभी समझौता करेंगे। इसलिए, एक ही प्रभाव के लिए मल्टीपल कीपर्स केवल अधिक काम है।
अलग-अलग कुंजी या अलग-अलग भूमिकाओं के लिए अलग-अलग कुंजियों का उपयोग करने का एकमात्र समय, जिसकी परिभाषा में एक्सेस में पूर्ण ओवरलैप नहीं होना चाहिए।
अगर मैं ठीक से समझूं, तो प्रत्येक सर्वर की अपनी सार्वजनिक कुंजी है।
किसी दिए गए उपयोगकर्ता के लिए , आप एक कुंजी उत्पन्न कर सकते हैं और उसका उपयोग हर जगह कर सकते हैं, इसलिए जब तक कि निजी कुंजी को सभी आरंभ करने वाले मेजबानों में दोहराया जाता है। (यह स्वचालित रूप से नेटवर्क-माउंटेड होम डाइरेक्टरीज़ और एक डायरेक्ट्री-बेस्ड ऑथेंटिकेशन सिस्टम जैसे कि OpenLDAP के माध्यम से होता है क्योंकि उपयोगकर्ता हमेशा "एक ही" होगा चाहे वह किस वर्कस्टेशन से लॉगिन करता हो।)
निर्देशिका-आधारित उपयोगकर्ता प्रणाली के बाहर, मुझे लगता है कि यह हर जगह समान कुंजियों का उपयोग करने के लिए एक बुरा आइडिया ™ है - आप सिस्टम सुरक्षा में शुद्ध कमी के साथ समाप्त होते हैं, क्योंकि जो कोई भी किसी भी वर्कस्टेशन से एक कुंजी प्राप्त कर सकता है वह फिर से प्रमाणित कर सकता है। उस उपयोगकर्ता को दूरस्थ सर्वर पर।
एक और विकल्प, कई बड़े निगमों द्वारा सूचीबद्ध (और मुझे यकीन है कि छोटे वाले भी हैं) एक "उपयोगकर्ता" को पहले से साझा की गई कुंजियों का उपयोग करने की अनुमति नहीं है, बल्कि इसके बाद "कूद" या "हब" बॉक्स में प्रवेश करें। , su
उचित कनेक्ट करने वाले उपयोगकर्ता के लिए, और फिर वहां से सर्वर तक एसएसएच को उन्हें प्रबंधित करने की आवश्यकता होती है।
इसके अलावा, यदि आप एचपी के सर्वर ऑटोमेशन प्लेटफॉर्म जैसे प्रबंधन प्रणाली का उपयोग करते हैं, तो प्रबंधित सर्वरों का दूरस्थ प्रशासन एक अधिक सरल प्रक्रिया बन जाती है।
su
सत्र लॉग किया गया है, हालांकि, यह श्रव्य है।
su
सत्र ही श्रव्य क्यों हैं और अन्य नहीं?
जैसा कि अन्य लोगों ने कहा है, हालांकि कई प्रमुख जोड़ों का विचार अधिक सुरक्षित लग सकता है, अगर कोई मौका है तो उन्हें इस तरह से उपयोग किया जाएगा कि वे सभी एक ही स्थान पर हैं तो यह सिर्फ अधिक परेशानी है और अधिक सुरक्षित नहीं है। एकाधिक पासफ़्रेज़ इसे अधिक सुरक्षित बनाते हैं, लेकिन यह भी याद रखने की कोशिश कर रहा एक बड़ा सिरदर्द कि कौन सा पासफ़्रेज़ किस कुंजी के साथ जाता है, और कौन सी कुंजी किस सर्वर के साथ जाती है।
मेरे लिए सबसे उचित उत्तर वह होगा जहां यह सुझाव दिया गया था कि केवल यदि इसमें बहुत अधिक ओवरलैप के बिना अलग-अलग प्रशासनिक भूमिकाएँ शामिल हैं। ऐसा है कि यह अलग-अलग भूमिकाओं को संभालने वाले अलग-अलग लोग हो सकते हैं, या विभिन्न कार्यस्थानों पर या जो भी हो। उस मामले में आपके पास प्रत्येक भिन्न भूमिका के लिए किसी भी तरह से निपटने के लिए अधिक अनोखी चीजें हैं, इसलिए यह अधिक न्यायसंगत है।
कई SSH सक्षम सर्वरों के प्रबंधन में आसानी के लिए, आप cssh की जाँच करना चाहते हैं । आप एक साथ कई सर्वरों को प्रबंधित करने की आपकी क्षमता को बढ़ाने के लिए सीएसएफ को पासफ़्रेज़्ड एसएसएच कुंजी के साथ जोड़ सकते हैं।