क्या कई कंप्यूटरों पर एक ही निजी ssh कुंजी का उपयोग करना एक बुरा विचार है?

35

मैंने हाल ही में एक लैपटॉप खरीदा है जिसमें से मुझे उसी दूरस्थ होस्ट तक पहुंचने की आवश्यकता है जो मैं अपने डेस्कटॉप से करता हूं। मेरे साथ यह हुआ कि मेरे डेस्कटॉप से निजी कुंजी फ़ाइल को अपने लैपटॉप पर कॉपी करना संभव हो सकता है और उन ~/.ssh/authorized_keysसभी मेजबानों पर फ़ाइलों की एक नई कुंजी जोड़ने से बचना चाहिए जिन्हें मैं एक्सेस करना चाहता हूं। तो मेरे सवाल हैं:

क्या यह भी संभव है?
क्या कोई गैर-स्पष्ट सुरक्षा निहितार्थ हैं?
कभी-कभी मैं अपने लैपटॉप से अपने डेस्कटॉप में लॉग इन करूंगा। अगर वहाँ एक ही कुंजी का उपयोग कर रहे थे, कि किसी भी समस्या का कारण होगा?

security unix ssh

— जेसन क्रेयटन
स्रोत

2

मुझे संदेह है कि आप अधिकृत_की का अर्थ है, ज्ञात_होस्ट नहीं। पूर्व आने वाले के लिए है, आउटगोइंग के लिए उत्तरार्द्ध है।

— मैथ्यू Schinckel

अच्छी पकड़। फिक्स्ड।

— जेसन क्रेयटन

29

हां, यह संभव है। आपकी निजी कुंजी किसी एक मशीन से बंधी नहीं है।

सुनिश्चित नहीं हैं कि आपके द्वारा गैर-स्पष्ट का क्या मतलब है, यह अक्सर व्यक्तिपरक है;)। यह बिल्कुल भी बुरा विचार नहीं है यदि आप सुनिश्चित करते हैं कि आपके पास एक बहुत ही मजबूत पासफ़्रेज़ सेट है, तो कम से कम 20 अक्षर।

आपके डेस्कटॉप के समान कुंजी के साथ कनेक्ट होने के बारे में कोई समस्या नहीं है। मैं लैपटॉप पर आपकी कुंजी के लिए एक ssh एजेंट सेट करूँगा, और एजेंट को डेस्कटॉप पर अग्रेषित करूँगा, इसलिए आप उस कुंजी का उपयोग अन्य प्रणालियों पर कर रहे होंगे जो आप वहाँ से एक्सेस करते हैं।

लिनक्स सिस्टम पर ssh- एजेंट मैन पेज से:

ssh-Agent सार्वजनिक कुंजी प्रमाणीकरण (RSA, DSA) के लिए उपयोग की जाने वाली निजी कुंजी रखने का एक कार्यक्रम है। विचार यह है कि ssh- एजेंट को X- सत्र या लॉगिन सत्र की शुरुआत में शुरू किया जाता है, और अन्य सभी विंडो या प्रोग्राम को ssh- एजेंट प्रोग्राम के क्लाइंट के रूप में शुरू किया जाता है। पर्यावरण चर के उपयोग के माध्यम से एजेंट को ssh (1) का उपयोग करके अन्य मशीनों में लॉग इन करते समय स्वचालित रूप से प्रमाणीकरण के लिए स्थित किया जा सकता है।

यदि आप Windows का उपयोग कर रहे हैं, तो आप इसे लिनक्स / यूनिक्स (यह ओपनएसएसएच के साथ आता है), या puTTY एजेंट के साथ या तो ssh- एजेंट प्रोग्राम पर चलाएंगे। आपको किसी दूरस्थ सिस्टम पर चलने वाले एजेंट की आवश्यकता नहीं है, यह शुद्ध रूप से आपकी निजी कुंजी को स्थानीय सिस्टम पर मेमोरी में रखता है ताकि आपको एजेंट में कुंजी लोड करने के लिए केवल एक बार अपना पासफ़्रेज़ दर्ज करना पड़े।

एजेंट अग्रेषण ssh क्लाइंट ( sshया पोटीन) की एक विशेषता है जो बस ssh कनेक्शन के माध्यम से अन्य प्रणालियों के माध्यम से एजेंट को जारी रखता है।

— jtimberman
स्रोत

1

मैं काफी समझ में नहीं आता कि आप ssh एजेंट अग्रेषण के संबंध में क्या सुझाव दे रहे हैं। क्या आप उस बिंदु पर थोड़ा विस्तार कर सकते हैं? मुझे यह उल्लेख करना चाहिए कि जब मैं अपने लैपटॉप का उपयोग करने की आवश्यकता होती है, तो मैं हमेशा डेस्कटॉप पर पहुंच नहीं सकता।

— जेसन क्रेयटन

उत्तर का अद्यतन करें :)

— jtimberman

10

मैं अपनी सभी मशीनों में एक ही निजी कुंजी का उपयोग करता था (और उनमें से कुछ मैं केवल एक उपयोगकर्ता हूं, व्यवस्थापक नहीं), लेकिन हाल ही में इसे बदल दिया गया। यह एक कुंजी का काम करता है, लेकिन इसका मतलब है कि अगर आपको कुंजी को फिर से चालू करने की आवश्यकता है (यदि यह समझौता किया गया है), तो आपको इसे सभी मशीनों पर बदलने की आवश्यकता होगी।

बेशक, यदि कोई हमलावर पहुंच पाता है और किसी दूसरी मशीन में जा पाता है, तो वे उस मशीन से चाबी प्राप्त कर सकते हैं, इत्यादि। लेकिन यह मुझे यह जानने में थोड़ा सुरक्षित महसूस कराता है कि मैं सिर्फ एक कुंजी को रद्द कर सकता हूं, और उस मशीन को बंद कर दूंगा। इसका मतलब है कि मुझे अधिकृत_की फ़ाइल से कुंजी को हटाने की आवश्यकता है, हालांकि।

— मैथ्यू Schinckel
स्रोत

पुरानी पोस्ट को एनक्रू करने के लिए क्षमा करें, लेकिन क्या आपको लगता है कि पासवर्ड के साथ आपकी निजी कुंजी को एन्क्रिप्ट करने से इसे कम किया जाएगा? या आपके मामले में, क्या पासवर्ड से भी समझौता किया गया था?

— थर्डेंडर

1

यह शायद कुंजी पर एक पासफ़्रेज़ होने से कम हो जाएगा। हालांकि वास्तविकता में, आप शायद ssh फ़ॉरवर्डिंग (एक एजेंट का उपयोग करके) का उपयोग कर सकते हैं, और उसके बाद आपके द्वारा उपयोग की जाने वाली वास्तविक मशीन की केवल एक कुंजी होती है , और वास्तव में इसके पास पासवर्ड सुरक्षित होता है।

— मैथ्यू Schinckel