Làm thế nào xấu là có nhiều thiết bị có cùng khóa máy chủ SSH?

Tôi đang làm việc trên một thiết bị nhúng chạy FreeBSD và SSH.

Như bạn đã biết, sshd thích tạo ngẫu nhiên một bộ khóa máy chủ khi lần đầu tiên khởi động. Vấn đề là chúng tôi sẽ vận chuyển sản phẩm với hệ thống tập tin thẻ sd chỉ đọc (không thể thương lượng).

Hai lựa chọn của tôi khi tôi thấy chúng là:

• Gửi cùng khóa máy chủ sshd trên tất cả các thiết bị
• Gắn kết hệ thống tệp bộ nhớ và tạo các khóa máy chủ trên mỗi lần khởi động (chậm ...)

Đây có phải là một vấn đề bảo mật lớn khi gửi cùng một khóa máy chủ trên tất cả các thiết bị không? Những mục này sẽ không được trực tiếp trên internet. Thỉnh thoảng sẽ có nhiều thiết bị thuộc sở hữu của cùng một người và trên cùng một mạng.

Hầu hết thời gian thiết bị sẽ không được kết nối với internet.

Đăng nhập bằng SSH không phải là một phần của hoạt động bình thường. Nó chủ yếu là để thuận tiện cho các lập trình viên và kỹ thuật viên. Khách hàng sẽ không đăng nhập vào thiết bị bằng SSH.

Sự phân nhánh của việc sử dụng cùng một khóa máy chủ trên nhiều thiết bị phần cứng là gì?

PS ai đó có thể vui lòng tạo một thẻ internet-of-thing?

EDIT : Tôi đang nói về việc cài đặt cùng một khóa riêng trên máy chủ trên tất cả các máy chủ (thiết bị). Theo như khóa công khai / khóa riêng của người dùng, hiện tại không có kế hoạch sử dụng khóa đăng nhập dựa trên khóa - đó sẽ là mật khẩu đăng nhập. Một lần nữa, cùng một mật khẩu trên tất cả các máy chủ (thiết bị).

Tôi biết rằng đây có lẽ là một ý tưởng tồi. Tôi muốn biết tại sao chính xác đó là một ý tưởng tồi mặc dù vậy tôi có thể hiểu được sự đánh đổi.

Thay vì lưu trữ dữ liệu dành riêng cho máy chủ như khóa máy chủ ssh trên thẻ SD hoặc phương tiện chỉ đọc khác, bạn có thể lưu trữ dữ liệu này trong NVRAM, đây là những gì dành cho hệ thống nhúng. Bạn sẽ cần thực hiện một số tập lệnh tùy chỉnh để lưu trữ và truy xuất các khóa khi khởi động, nhưng các tập lệnh sẽ giống hệt nhau cho mọi thiết bị.

Tác động của việc vận chuyển cùng một cặp khóa với tất cả các thiết bị của bạn có liên quan trực tiếp đến bảo mật của các máy khách kết nối với chúng, vì điều đó có nghĩa là không có cách nào (từ máy khách SSH) để nhận dạng duy nhất thiết bị mà nó có thể kết nối. Nếu cặp khóa của bạn bị rò rỉ, nó có thể được sử dụng cho các cuộc tấn công MITM.

Mặt khác, việc tạo lại các phím trên mỗi lần khởi động, cũng sẽ kích hoạt cảnh báo cho khách hàng.

Để tham khảo, từ man ssh(1):

sshtự động duy trì và kiểm tra cơ sở dữ liệu chứa nhận dạng cho tất cả các máy chủ mà nó đã từng được sử dụng. Khóa máy chủ được lưu trữ trong ~/.ssh/known_hoststhư mục nhà của người dùng. Ngoài ra, tệp /etc/ssh/ssh_known_hostsđược tự động kiểm tra các máy chủ đã biết. Bất kỳ máy chủ mới nào cũng được tự động thêm vào tệp của người dùng. Nếu nhận dạng của máy chủ lưu trữ thay đổi, sshcảnh báo về điều này và vô hiệu hóa xác thực mật khẩu để ngăn chặn các cuộc tấn công giả mạo máy chủ hoặc trung gian, có thể được sử dụng để phá vỡ mã hóa. Các StrictHostKeyCheckingtùy chọn có thể được sử dụng để kiểm soát thông tin đăng nhập cho các máy có chìa khóa chủ không biết hoặc đã thay đổi.

Có vẻ như trong tùy chọn đầu tiên, các khóa SSH sẽ có sẵn trên thẻ SD. Vì vậy, bất kỳ người dùng có thể lấy thẻ và đọc chúng ra. Vì vậy, về cơ bản các khóa riêng của bạn đã trở thành (chủ yếu) công khai.

Điều này sẽ cho phép các cuộc tấn công trung gian, như sau:

1. Người dùng thiết lập máy chủ SSH với các khóa riêng thu được từ thiết bị của bạn và cung cấp địa chỉ IP đó cho kỹ thuật viên của bạn.
2. Kỹ thuật viên của bạn nhập mật khẩu gốc qua kết nối SSH.
3. Người dùng hiện biết mật khẩu gốc hợp lệ cho tất cả các thiết bị của bạn.

Tuy nhiên, bạn không nên sử dụng mật khẩu gốc ở nơi đầu tiên, thay vào đó hãy sử dụng khóa ssh để xác thực. Sau đó, tác động của các khóa máy chủ được chia sẻ là khá nhỏ nếu bạn chỉ đăng nhập từ mạng LAN.

SSH cũng cung cấp bảo mật về phía trước, vì vậy kẻ tấn công phải có khả năng thiết lập một máy chủ giả để hưởng lợi từ các khóa; thụ động đánh hơi lưu lượng sẽ không cho phép giải mã nó.

Tôi đọc điều này trong kinh dị! Tôi đã thực hiện nhiều máy trong cùng một cụm với cùng khóa máy chủ ssh sẽ không bao giờ dám làm điều này. Không trong mọi trường hợp cho phép các máy có bộ quản trị viên khác nhau chia sẻ khóa máy chủ ssh. Đó là cách điên rồ và la hét kinh hoàng khi bạn bị đăng vì sự thiếu an toàn của bạn.

Kìa tôi nói cho bạn biết sự thật, anh ta thỏa hiệp một thiết bị thỏa hiệp tất cả chúng. Sau khi có được một, mong muốn những người xấu sẽ nhảy từ người này sang người khác theo ý muốn và an ninh quay trở lại như thể đó là một tờ giấy mỏng.

Vì bạn đề cập rằng quyền truy cập SSH không được sử dụng bởi người dùng / khách hàng cuối, bạn có thể muốn tắt quyền truy cập SSH theo mặc định và chỉ bật tạm thời khi thiết bị được đưa vào chế độ "gỡ lỗi".

Sau đó, bạn có thể gửi tất cả các thiết bị có cùng khóa, giả sử rằng bạn đã bảo vệ chế độ "gỡ lỗi" để nó không thể được kích hoạt từ xa bởi ai đó đang cố gắng hack thiết bị.

Hoặc bạn có một khóa mới được tạo khi thiết bị chuyển sang chế độ "gỡ lỗi" - vì vậy bạn không phải lãng phí thời gian khởi động để tạo khóa mỗi khi thiết bị được bật nguồn.

Đây là một kịch bản tấn công mẫu dựa trên các ràng buộc bạn có:

Nếu thiết bị của bạn là, ví dụ như Raspberry Pi. Nếu tôi đi lên và lấy thẻ SD từ một, tôi có thể dán thẻ SD vào máy tính của mình, tìm khóa sshd và sao chép nó vào mọi nơi tôi muốn. Có lẽ tôi lấy pi mâm xôi của riêng tôi và thẻ ethernet USB. Bây giờ tôi có thể dán nó ở giữa một thiết bị mục tiêu và bất cứ nơi nào chúng đi và theo dõi các kết nối ssh. Khi tôi thấy thiết bị đích đang cố gắng tạo kết nối ssh, tôi sẽ làm điều này:

(target) <---> (my evil sshd <--> decrypted traffic <--> ssh) <---> (real server)
                                       |
                                       V
                                    log file

Ô .. cái đó là gì thế? Mật khẩu của bạn là "Tôi thích mèo"? Chàng trai, đây là một email thú vị mà bạn đã gửi cho vợ mình. Tôi cá là sẽ còn thú vị hơn nữa nếu cô ấy đọc email này mà bạn gửi cho vợ hàng xóm bên cạnh.

Các khả năng là vô tận . Và mục tiêu sẽ không bao giờ biết, bởi vì khóa sshd giống hệt với khóa được tìm thấy trên máy chủ thực. Tùy thuộc vào bảo mật vật lý của các cơ sở đang nhận thiết bị của bạn, điều này có thể rất nhỏ. Đừng làm điều này.

Thay vào đó, hãy làm những gì bạn đã đề xuất nhưng sửa nó . Trước khi bạn viết hình ảnh của bạn chạy một cái gì đó như thế này:

ssh-keygen -f some-new-server
cp some-new-server /path/to/the/mounted/image/sshd/key
cp some-new-server.pub /path/to/the/mounted/image/sshd/key.pub

Và bây giờ mỗi máy chủ có một khóa mới . Bởi vì bạn thực sự, thực sự không muốn phân phối các bản sao của khóa. Ý tôi là thành thật mà nói, nó ít nhất cũng tệ như chụp ảnh chìa khóa nhà của bạn và tải chúng lên Internet bằng địa chỉ nhà của bạn.