SSH経由で複数のデバイスから複数のサーバーに接続する必要があります。接続元の各デバイスで新しいid_dsaファイルを作成する必要があるのか、または同じid_dsaファイルを各デバイスにコピーするのに問題がないのかと思います。
たとえば、Ubuntuベースのプライマリデスクトップシステムとsshを搭載したMacBook Proがあります。そして、PuttyがインストールされたWindowsベースのネットブックを持っています。そして、私はConnectBotを備えたAndroidフォンを持っています。これらのデバイスのいずれかから、何十もの異なる物理サーバーと仮想サーバーにSSH接続する必要があるかもしれません。
各サーバーには、公開鍵をインストールする必要があります。また、私のGitHubアカウントとCodasetアカウントには公開鍵が必要です。
鍵管理を単純化するために、これらすべてのシステムで同じ秘密鍵を使用することを考えています。これは一般的な方法ですか、それとも各システムに秘密鍵を置く方が良いですか?
回答:
各システムで同じ公開鍵を使用し、秘密鍵が危険にさらされた場合、その鍵を使用している他の制限がないシステムにアクセスできます。
パスワードで保護された秘密鍵を使用していると思いますか?
私たちの経営慣行では、低、中、高のセキュリティ「役割」があります。役割ごとに異なるキーを使用します。高いセキュリティの秘密キーは、外部の資産に送信されたり、紛失/盗難の可能性があるラップトップで使用されたりすることはありません。
使用パターンを調べて、セキュリティロールの観点から何ができるかを確認することをお勧めします。秘密鍵を取得することによりどのような損害が発生しますか?
SSH秘密鍵を盗むことができないハードウェアデバイスに配置し、鍵の潜在的な侵害を取り除いて問題としないことを検討しましたか?
ハードウェアセキュリティモジュールとスマートカードの両方を使用して、SSH秘密鍵を安全な方法で保存し、すべての暗号化操作をオペレーティングシステムではなくデバイスで実行できます。ただし、これらは万能薬ではありません。これらは、ハードウェア障害の場合にバックアップハードウェアデバイスも必要とするためです。
絶対にすべきです。いつでもすべてのキーをauthorized_keys2ファイルに追加できます。私はジェファトラックエイドの提案が好きです。ただし、デバイスごとに異なる秘密鍵を使用します。あなたのAndroidを失います。簡単です。許可されたキーのリストからキーを削除します。そうでない場合は、そのレベルのキーを再生成する必要があります。
とはいえ、これらの資産のリスクをどのように認識するかによって異なります。明らかに、キーを失いたくないが、たとえばgithub対vpsのルートなど、より大きなリスクにさらされる可能性があるものもあります。
authorized_keys2、2001年から廃止authorized_keys
SSHキーを生成するときに、Debianが少しのエントロピー問題を抱えていたことを覚えていますか?その時、私は自分のレッスンをよく学びました。
個人サーバーへのアクセスなど、自分のもののための自分の秘密鍵を持っています。ほとんどの開発ボックスにアクセスできる「汎用」キーがあり、サービスを提供するクライアントごとにキーをカットします。
また、急いでそれらを交換または削除しなければならない場合に備えて、どのマシンにどのキーがあるかについての非常に詳細なリストも保持しています。
深刻である他のすべてのために、私はちょうど私が誰か削除しなければならない場合に、LDAP / PAMを使用する他の急いでいます。