複数のクライアントコンピューター(ラップトップ、デスクトップなど)があり、管理している複数のサーバーマシンに接続して、すべてSSH経由でログインします。意味のあるsshキーを管理するいくつかのスキームを想像することができ、他の人が何をするのか興味があります。
1つの公開/秘密キーペアを生成し、すべてのクライアントマシンに秘密キーを配置し、すべてのサーバーマシンに公開キーを配置します。
各サーバーマシンで1つのキーペアを生成し、クライアントマシンに各プライベートキーを配置します。
各クライアントマシンには一意の秘密鍵があり、各サーバーマシンには、接続するすべてのクライアントマシンの公開鍵があります。
完全に船外?
どれが最適ですか?他のオプションはありますか?適切な構成を評価するために使用する基準は何ですか?
回答:
オプション3:クライアントマシンごとに1つのキーペアを使用します。いくつかの理由があります。
オプション4は便利ですが、手間がかかりすぎます。オプション3を使用すると、98%の手間が大幅に削減されます。
ホームネットワークサーバー、オフィスサーバー、コンサルティングクライアントネットワークサーバー、およびアカウントを持っている他のさまざまなシステムに使用されるSSH IDキーの分離を維持したいので、もう少し複雑なソリューションを使用します。
Linuxワークステーションからほぼ排他的に作業するため、LUKS暗号化を使用してセットアップされたUSBキーがあり、X11ウィンドウマネージャーとHALデーモンがLUKS暗号化ドライブを検出し、挿入されて復号化パスフレーズを入力しようとするとプロンプトが表示されますマウントされます。これを暗号化されたドライブに保存することで、SSHキーをワークステーションに保存することはありません。
次に、~/.ssh/configファイルに次の構成があります。
Host *
Protocol 2
IdentityFile %d/.ssh/keys.d/id_rsa.%l
IdentityFile %d/.ssh/keys.d/id_dsa.%l
IdentityFile %d/.ssh/keys.d/%u@%l
%dは、 OpenSSHのことで、ユーザーのホームディレクトリであることを翻訳されており、中の〜/ .sshディレクトリに私が作成したkeys.dを、それが適切に装着された場合、暗号化USBドライブ上のディレクトリパスへのシンボリックリンクとして。
%のLの式はクライアントマシンのホスト名とローカルであると翻訳されuは%ローカルクライアントのユーザ名に変換されます。
この構成では、SSHで3つの異なる式を使用してキーを検索できます。たとえば、ローカルクライアントのユーザー名がjdoeローカルクライアントマシン名であったexamplehost場合、リモートサーバーによって存在し受け入れられたキーが見つかるまで、次の順序で検索されます。
/home/jdoe/.ssh/keys.d/id_rsa.examplehost
/home/jdoe/.ssh/keys.d/id_dsa.examplehost
/home/jdoe/.ssh/keys.d/jdoe@examplehost
%r式を使用して、リモートサーバーのユーザー名に固有のキーを検索したり、%uと%lが使用されたようにリモートサーバーのホスト名に%hを検索したりすることもできます。
更新:GnuPG gpg-agentとssh-agentの互換性を実際に利用して、OpenPGP v2スマートカードから認証キーを読み取って使用するだけです。
秘密鍵は機密データであり、可能な限り少ない場所に保管するのが理にかなっているため、オプション1(オプション2であると思われるもの)の両方を削除します。個人的には、バックアップを作成する場合を除いて、あるコンピューターから別のコンピューターに(または同じコンピューター上の1つのファイルから別のファイルに)秘密キーをコピーすることはありません。ほとんどの暗号化キーとは異なりますが、SSHキーが失われても、それは世界の終わりではありません(新しいキーを作成するだけで、データは失われません)。
オプション3およびPuppetなどを使用してキー管理を処理します。