Phương pháp để loại bỏ khóa SSH Ghép nối cục bộ

10

Tôi đã sử dụng các phím ssh của mình được một lúc. Tôi đang suy nghĩ về việc nâng cấp cặp khóa ssh của mình thành mã hóa mạnh hơn và tôi không biết tất cả các thiết bị nơi khóa của tôi được đăng ký.

Có thể "không tán thành" Khóa SSH cục bộ để tôi nhận được cảnh báo nếu tôi xác thực bằng Khóa SSH không dùng nữa không?

security ssh-keys

— tim0_o
nguồn

Trong khi bạn đang ở đó, tôi khuyên bạn nên ngừng sử dụng cùng một khóa SSH cho nhiều máy chủ; nó không cần thiết làm tăng bề mặt tấn công cũng như giá trị của khóa đó trong trường hợp vi phạm. Thay vào đó, sử dụng một khóa cho mỗi máy chủ bạn kết nối; lý tưởng nhất là sử dụng một khóa cho mỗi cặp máy khách và máy chủ (nhưng điều này sẽ giảm tỷ lệ nếu bạn có nhiều hệ thống máy khách kết nối với nhiều máy chủ). Tôi cũng thích gắn thẻ các khóa có ngày tạo trong bình luận hoặc tên khóa, cho phép tôi theo dõi xem chúng bao nhiêu tuổi. Sau đó, thiết lập một lời nhắc định kỳ cứ sau 6-24 tháng hoặc lâu hơn trong lịch của bạn để gia hạn.

— một CVn

@ MichaelKjorling Tôi không đồng ý với phần đầu tiên trong đề xuất của bạn. Tạo nhiều cặp khóa trong đó tất cả các khóa riêng được lưu trữ trên cùng một máy có cùng quyền không cung cấp bất kỳ cải tiến bảo mật quan trọng nào. Nếu một người bị xâm phạm thì rất có thể những người còn lại cũng bị xâm phạm. Và trong trường hợp đó có nhiều cặp khóa chỉ có nghĩa là sẽ có nhiều việc phải làm hơn khi xoay chúng một khi bạn thấy lý do để tạo một cặp khóa mới. Phần về việc thêm một ngày thế hệ vào bình luận là lời khuyên tốt (tôi muốn ssh-keygenlàm điều đó theo mặc định).

— kasperd

@kasperd Bạn làm điểm tốt. Tôi cho rằng như mọi khi, nó phụ thuộc rất nhiều vào mô hình mối đe dọa của bạn. Tôi nghi ngờ tôi mặc nhiên cho rằng các khóa sẽ có các cụm mật khẩu khác nhau, tôi có thể thấy làm thế nào với một số lượng lớn các khóa có thể không thực tế, trừ khi bạn sẵn sàng thêm trình quản lý mật khẩu vào hỗn hợp. Nó không tuy nhiên cho phép một cái gì đó rất gần với những gì các OP được mô tả, vì một chìa khóa có thể được "phản đối" rất dễ dàng mà không ảnh hưởng đến các kết nối khác. Tôi nghi ngờ cuối cùng, đó là một chút vấn đề của sở thích cá nhân.

— một CVn

9

Tôi không biết cách nào để làm một cái gì đó như thế này, nhưng tôi có thể thấy nó sẽ hữu ích như thế nào. Những gì tôi muốn làm là ngừng thêm khóa không dùng vào tác nhân SSH của tôi. Bằng cách đó, mỗi khi nó được sử dụng, tôi sẽ phải nhập lại cụm mật khẩu. Nếu đó là một cái gì đó như "ugh, một cái khác để sửa", thì nó sẽ nhắc tôi mỗi lần tôi phải xoay chìa khóa của mình trên máy đó.

— womble
nguồn

về mặt này có thể hữu ích (tùy thuộc vào distro / DE) để di chuyển tệp sang thư mục khác, ví dụ cá ngựa sử dụng tất cả các khóa một ~/. sshcách tự động.

— guntbert

1

Bất cứ điều gì cần phải được đốt cháy. Điều đó có nghĩa là thời điểm bạn có nhiều hơn sáu khóa (tôi đã có một vài chục) bạn sẽ không thể xác thực do quá nhiều lỗi (mọi khóa được trình bày và bị từ chối đều được tính vào số lần thất bại).

— womble

5

Bạn có thể di chuyển khóa ssh cũ đến một vị trí không mặc định (nghĩa là ~ / .ssh / deprecated_id_rsa) và sau đó tạo khóa ssh mới với các thuộc tính mong muốn của bạn tại ~ / .ssh / id_rsa

Bằng cách đó, bạn vẫn có sẵn khóa không dùng nữa nếu cần ssh -i ~/.ssh/deprecated_id_rsa ..., nhưng bạn sẽ mặc định sử dụng khóa mới của mình.

— ngón chân
nguồn