SSH: क्या आप प्रत्येक रिमोट मशीन के लिए एक निजी / सार्वजनिक कुंजी जोड़ी का उपयोग करते हैं? या सभी के लिए एक जोड़ी?


23

जब आप कई मशीनों के लिए सार्वजनिक कुंजी आधारित ssh लॉगिन करना चाहते हैं, तो क्या आप एक निजी कुंजी का उपयोग करते हैं, और सभी मशीनों पर एक ही सार्वजनिक कुंजी रखते हैं? या आपके पास प्रत्येक कनेक्शन के लिए एक निजी / सार्वजनिक कुंजी जोड़ी है?


@ जाज जज्कोव्स्की: मुझे यकीन नहीं है कि आपकी टिप्पणी का जवाब कैसे दिया जाए लेकिन यह आपके लिए है। जम्प बॉक्स एक डीएमजेड (एक फ़ायरवॉल के पीछे) में मौजूद इंटरनेट फेसिंग सर्वरों पर नियंत्रित पहुँच की अनुमति देते हैं। मान लें कि आपके पास "server_a" और "server_b" है। A नेटवर्क में है और B नेटवर्क के बाहर है। बाहरी ग्राहक बी से जुड़ते हैं। ए से बी तक जाने वाले यातायात को नियंत्रित करने की आवश्यकता है और इसके विपरीत। तो आप एक जंप बॉक्स जोड़ें जिसमें दो नेटवर्क कार्ड हों। एक जो इसे आंतरिक नेटवर्क (ए) से जोड़ता है और एक जो इसे बाहरी नेटवर्क (बी) से जोड़ता है। तो A से आप जंप बॉक्स पर जाएँ और फिर B. में से एक लाभ

@IMTheNachoMan - मैंने आपके उत्तर को एक टिप्पणी में बदल दिया है, हालाँकि इसके लिए सबसे अच्छी जगह एक टिप्पणी के रूप में होगी जो सीधे उस टिप्पणी के उत्तर के भीतर होगी जिसका आप जवाब दे रहे हैं (कि मुझे थोड़ा चक्कर आया)। यदि आपके कोई प्रश्न हैं, तो मेटा पर पॉप करें और पूछें। भले ही स्पष्टीकरण के लिए धन्यवाद।
कारा मार्फिया

जवाबों:


27

मैं सिस्टम के प्रति सेट एक कुंजी का उपयोग करता हूं जो एक सामान्य प्रशासनिक सीमा साझा करती है। यह उन मशीनों की संख्या को सीमित करता है जो एक कुंजी से छेड़छाड़ करने पर पॉप हो जाती हैं, जबकि कई हजार कुंजियों को संग्रहीत करने और प्रबंधित करने की मेरी क्षमता पूरी तरह से भारी नहीं होती है। प्रत्येक कुंजी पर अलग-अलग पासफ़्रेज़ का अर्थ है कि भले ही आपकी सभी निजी कुंजी चोरी हो जाएं और एक कुंजी समझौता कर ली जाए, बाकी इसके साथ शौचालय में न जाएं। इसके अलावा, अगर आप कुछ बेवकूफी करते हैं (जैसे एक अविश्वसनीय मशीन पर एक निजी कुंजी की प्रतिलिपि बनाएँ), तो फिर से आपको सब कुछ फिर से करने की ज़रूरत नहीं है, बस उस कुंजी से जुड़ी मशीनें।


4

सार्वजनिक कुंजी ज्यादा मायने नहीं रखती है, क्योंकि परिभाषा के अनुसार, इसे प्रचारित किया जा सकता है। तो एकमात्र मुद्दा आपकी निजी कुंजी की गोपनीयता है। वे आपकी अपनी मशीन पर हैं, और सभी एक साथ हैं, इसलिए यदि किसी से समझौता किया जाता है, तो संभावना है कि वे सभी समझौता करेंगे। इसलिए, एक ही प्रभाव के लिए मल्टीपल कीपर्स केवल अधिक काम है।

अलग-अलग कुंजी या अलग-अलग भूमिकाओं के लिए अलग-अलग कुंजियों का उपयोग करने का एकमात्र समय, जिसकी परिभाषा में एक्सेस में पूर्ण ओवरलैप नहीं होना चाहिए।


2

अगर मैं ठीक से समझूं, तो प्रत्येक सर्वर की अपनी सार्वजनिक कुंजी है।

किसी दिए गए उपयोगकर्ता के लिए , आप एक कुंजी उत्पन्न कर सकते हैं और उसका उपयोग हर जगह कर सकते हैं, इसलिए जब तक कि निजी कुंजी को सभी आरंभ करने वाले मेजबानों में दोहराया जाता है। (यह स्वचालित रूप से नेटवर्क-माउंटेड होम डाइरेक्टरीज़ और एक डायरेक्ट्री-बेस्ड ऑथेंटिकेशन सिस्टम जैसे कि OpenLDAP के माध्यम से होता है क्योंकि उपयोगकर्ता हमेशा "एक ही" होगा चाहे वह किस वर्कस्टेशन से लॉगिन करता हो।)

निर्देशिका-आधारित उपयोगकर्ता प्रणाली के बाहर, मुझे लगता है कि यह हर जगह समान कुंजियों का उपयोग करने के लिए एक बुरा आइडिया ™ है - आप सिस्टम सुरक्षा में शुद्ध कमी के साथ समाप्त होते हैं, क्योंकि जो कोई भी किसी भी वर्कस्टेशन से एक कुंजी प्राप्त कर सकता है वह फिर से प्रमाणित कर सकता है। उस उपयोगकर्ता को दूरस्थ सर्वर पर।

एक और विकल्प, कई बड़े निगमों द्वारा सूचीबद्ध (और मुझे यकीन है कि छोटे वाले भी हैं) एक "उपयोगकर्ता" को पहले से साझा की गई कुंजियों का उपयोग करने की अनुमति नहीं है, बल्कि इसके बाद "कूद" या "हब" बॉक्स में प्रवेश करें। , suउचित कनेक्ट करने वाले उपयोगकर्ता के लिए, और फिर वहां से सर्वर तक एसएसएच को उन्हें प्रबंधित करने की आवश्यकता होती है।

इसके अलावा, यदि आप एचपी के सर्वर ऑटोमेशन प्लेटफॉर्म जैसे प्रबंधन प्रणाली का उपयोग करते हैं, तो प्रबंधित सर्वरों का दूरस्थ प्रशासन एक अधिक सरल प्रक्रिया बन जाती है।


1
सभी को अपनी चाबियों को एन्क्रिप्ट करके रखना चाहिए। क्या आप "जंप बॉक्स" के सुरक्षा लाभों की व्याख्या कर सकते हैं, क्योंकि मैं इसे नहीं देखता।
जिम जज्कोव्स्की

जैसा कि कई बैंकों में लागू किया गया है, और अन्य जगहों पर, "जंप बॉक्स" के पीछे विचार यह है कि आप अपने "सामान्य" उपयोगकर्ता के साथ डीएमजेड या सबनेट आदि में सर्वर तक नहीं पहुंच सकते। आप जंप बॉक्स से कनेक्ट होते हैं, फिर लॉग इन फॉर्म में, दूसरे नेटवर्क में कनेक्ट होने के लिए प्रबंधन उपयोगकर्ता के लिए su।
वॉरेन

2
सुरक्षा लाभ == 0, दूसरे शब्दों में।
Womble

@womble - शायद यह सही है। लेकिन यह है कि बहुत सारी पागल कंपनियां क्या करती हैं। चूंकि suसत्र लॉग किया गया है, हालांकि, यह श्रव्य है।
वॉरेन

1
केवल suसत्र ही श्रव्य क्यों हैं और अन्य नहीं?
जोओ पोर्टेला

1

जैसा कि अन्य लोगों ने कहा है, हालांकि कई प्रमुख जोड़ों का विचार अधिक सुरक्षित लग सकता है, अगर कोई मौका है तो उन्हें इस तरह से उपयोग किया जाएगा कि वे सभी एक ही स्थान पर हैं तो यह सिर्फ अधिक परेशानी है और अधिक सुरक्षित नहीं है। एकाधिक पासफ़्रेज़ इसे अधिक सुरक्षित बनाते हैं, लेकिन यह भी याद रखने की कोशिश कर रहा एक बड़ा सिरदर्द कि कौन सा पासफ़्रेज़ किस कुंजी के साथ जाता है, और कौन सी कुंजी किस सर्वर के साथ जाती है।

मेरे लिए सबसे उचित उत्तर वह होगा जहां यह सुझाव दिया गया था कि केवल यदि इसमें बहुत अधिक ओवरलैप के बिना अलग-अलग प्रशासनिक भूमिकाएँ शामिल हैं। ऐसा है कि यह अलग-अलग भूमिकाओं को संभालने वाले अलग-अलग लोग हो सकते हैं, या विभिन्न कार्यस्थानों पर या जो भी हो। उस मामले में आपके पास प्रत्येक भिन्न भूमिका के लिए किसी भी तरह से निपटने के लिए अधिक अनोखी चीजें हैं, इसलिए यह अधिक न्यायसंगत है।


0

कई SSH सक्षम सर्वरों के प्रबंधन में आसानी के लिए, आप cssh की जाँच करना चाहते हैं । आप एक साथ कई सर्वरों को प्रबंधित करने की आपकी क्षमता को बढ़ाने के लिए सीएसएफ को पासफ़्रेज़्ड एसएसएच कुंजी के साथ जोड़ सकते हैं।


2
आप लूप के लिए महिमा में "पागल कीड़े" कैसे प्राप्त करते हैं?
वूमबल

इसके बारे में कुछ बहुत ही घातक लगता है - यदि आप एक गलती करते हैं तो आप अपने सभी सर्वरों को केवल एक के बजाय एक बार खराब कर देते हैं!
निक

@ निक - सच है, लेकिन यह बहुत हमेशा मामला है जब मैं बॉक्स के प्रभारी हूँ =) @womble - हुह? आप किस "पागल कीड़े" का उल्लेख करते हैं?
15

1
आपके द्वारा लिंक किए गए प्रोजेक्ट पृष्ठ के शीर्ष पर: "नोट: मैं वास्तव में जल्द ही इस प्रोजेक्ट पर वापस आऊंगा ताकि मैं इसमें पागल कीड़े को ठीक कर सकूं।" तथ्य यह है कि नोटिस अभी भी दो साल बाद है, इसमें मेरा विश्वास नहीं बढ़ता है।
Womble
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.