Tại sao Google khuyên bạn nên xóa các khóa SSH khỏi GCE để bảo mật?


15

Các tài liệu tham khảo dưới đây của Google không còn đúng nữa.

Google khuyên bạn nên xóa các khóa SSH khỏi phiên bản GCE để bảo mật SSH. Điều đó không có ý nghĩa gì với tôi. Các chìa khóa là có để bảo mật, phải không? Khi tôi loại bỏ các phím, SSHD ngừng hoạt động. Tôi có thể bỏ lỡ quan điểm của họ. Ai đó có thể giải thích ý nghĩa của việc này là gì không:

Hủy bỏ khóa máy chủ ssh

Đừng sử dụng khóa máy chủ ssh với ví dụ của bạn. Loại bỏ chúng như sau:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*

2
Tài liệu khuyến nghị kích hoạt StrictHostKeyCheckingvà sau đó khuyến nghị vô hiệu hóa nó. Tôi nghi ngờ nó không phải là một tài liệu được chỉnh sửa rất cẩn thận. Lời khuyên của tôi là hãy tin vào phán đoán của chính bạn và sử dụng khóa máy chủ trừ khi có lý do chính đáng để không.
xe đẩy

@aeccar Tôi cũng nhận thấy điều đó. Tôi đã gửi phản hồi cho họ. Sẽ xem nếu họ trở lại với tôi.
Martin Prikryl

1
Tôi đã giải thích bên dưới, nhưng nó đi sâu vào bối cảnh - trang bạn đang xem đang đưa ra lời khuyên cho việc tạo hình ảnh mới, không phải để bảo mật máy. Tôi sẽ nhận được các tài liệu được cập nhật để bao gồm chi tiết hơn về thời điểm và lý do bạn muốn xóa khóa máy chủ của mình, vì lý do không rõ ràng.
Benson

Câu trả lời:


12

Chi tiết quan trọng là trang bạn đã tham chiếu là về việc tạo hình ảnh máy Compute Engine mới. Cụ thể, khi bạn tạo một hình ảnh máy ảo mới, bạn muốn đảm bảo nó KHÔNG bao gồm bất kỳ khóa máy chủ nào. Theo cách đó, khi hình ảnh được sao chép và hoàn nguyên thành một VM thực tế, tập lệnh khởi động sshd sẽ nhận ra rằng không có khóa máy chủ và tự động tạo ra các khóa mới. Điều này là mong muốn bởi vì có nhiều máy sử dụng cùng một khóa máy chủ là một ý tưởng rất tồi.

Vì vậy, trong trường hợp chung, vui lòng không xóa các khóa máy chủ của bạn, nhưng nếu bạn đang tạo một hình ảnh mới, đây là một bước quan trọng để đảm bảo có mối quan hệ một-một giữa các khóa máy chủ và máy.


1
Cảm ơn. Điều này thật ý nghĩa. Mặc dù một số lời giải thích sẽ giúp. "Đừng sử dụng khóa máy chủ ssh với ví dụ của bạn." thực sự là một cụm từ khó hiểu.
Martin Prikryl

Tôi hoàn toàn đồng ý - cảm ơn rất nhiều vì đã chỉ ra điều đó. Tôi thực sự đã gửi một bản cập nhật cho các tài liệu để làm rõ từ ngữ mà tôi nghi ngờ sẽ sớm bị loại ra.
Benson

1
Các tài liệu được cập nhật hiện đang hoạt động: developers.google.com/compute/docs/images#removesshkeys
Benson

13

Lý do duy nhất có thể tôi có thể nghĩ đến là họ muốn buộc bạn tạo lại các khóa mới.
Vì các khóa này đã được tạo trước khi bạn có quyền truy cập nên chúng có thể không đáng tin cậy.
Loại bỏ chúng và khởi động lại sshdsẽ tạo lại các phím cho bạn.
Tuy nhiên, tài liệu không thực sự làm rõ điều đó.

Đây là suy đoán thuần túy và sẽ tốt hơn nếu liên hệ với họ và làm rõ về điều này.


4
Cám ơn phản hồi của bạn. Tôi cần phải ssh đến máy chủ để khởi động lại sshd. Nhưng để kết nối, tôi cần chấp nhận khóa máy chủ "không tin cậy" của máy chủ. Vì vậy, bất cứ điều gì tôi làm trong phiên này không thể tin tưởng được. Ngay cả việc khởi động lại của sshd. Đúng?
Martin Prikryl

1
Tôi đoán mối quan tâm chính là vì một số lý do, một khách hàng khác nhận được các khóa giống như bạn (lưu ý: điều này không cho phép họ truy cập vào cá thể của bạn nhưng giúp bạn dễ dàng tấn công người trung gian hơn). Nếu bạn không tin tưởng nhà cung cấp hình ảnh, thì bạn không nên chạy bất cứ thứ gì ở đó (thực tế họ có quyền truy cập vật lý).
mạo

1
IIRC đã có một số nghiên cứu chỉ ra rằng chất lượng entropy trong một số hệ thống, đặc biệt được nhúng nhưng cũng có thể bao gồm một số loại máy ảo mới khởi động, không cao lắm. Khi các khóa công khai được tạo ở lần khởi động đầu tiên, chẳng hạn như các khóa của máy chủ SSH có thể dự đoán được.
HBruijn

@HBruijn Cảm ơn bạn đã bình luận. Nhưng xóa chúng và để sshd tạo lại chúng khi khởi động lại không làm cho chúng tốt hơn. Bạn sẽ phải tải lên của riêng bạn. Nhưng điều đó không được đề cập trong tài liệu.
Martin Prikryl

1
Tôi đã gửi phản hồi cho Google. Sẽ xem nếu họ trở lại với tôi.
Martin Prikryl
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.