Trong vài ngày qua, tôi đã cố gắng làm quen với SSH và tôi hy vọng rằng tôi đã hiểu nó.
Tuy nhiên, vẫn còn một câu hỏi - là khóa của tôi được liên kết với tôi (với tư cách là người dùng) hay tài khoản người dùng của tôi trên máy?
Trong vài ngày qua, tôi đã cố gắng làm quen với SSH và tôi hy vọng rằng tôi đã hiểu nó.
Tuy nhiên, vẫn còn một câu hỏi - là khóa của tôi được liên kết với tôi (với tư cách là người dùng) hay tài khoản người dùng của tôi trên máy?
Câu trả lời:
Bạn không có chìa khóa, bạn có cặp chìa khóa. Làm thế nào bạn xử lý từng là rất khác nhau. Khóa công khai của bạn có thể được đăng trên twitter và chia sẻ với tất cả mọi người (bao gồm cả kẻ gian). Khóa riêng của bạn phải được bảo vệ cẩn thận.
Tôi có cùng khóa công khai trên tất cả các máy chủ tôi truy cập thông qua SSH.
Tôi giữ cùng một khóa riêng trên hai máy tính để bàn và một netbook tôi sử dụng để truy cập các máy chủ đó. Tôi cũng giữ khóa riêng trên ổ USB để sử dụng trên PC của người khác (không sao chép nó vào PC của họ). Tôi sử dụng một cụm mật khẩu mạnh để bảo vệ khóa riêng. Không có lý do tại sao bạn không thể chỉ giữ khóa riêng trên ổ USB (và không ở đâu khác).
Một khóa riêng đại diện cho danh tính của bạn. Việc có các khóa khác nhau trên các máy khác nhau hay không tùy thuộc vào việc bạn có xem xét tôi trên máy A và và tôi trên máy Bith là cùng một danh tính hay không.
Ưu điểm chính của việc có một khóa riêng là dễ bảo trì. Bạn chỉ cần triển khai một khóa công khai duy nhất cho tất cả các địa điểm bạn muốn đăng nhập và bạn sẽ có thể đăng nhập ở đó từ bất cứ đâu.
Ưu điểm chính của việc có nhiều khóa riêng là hạn chế thiệt hại có thể xảy ra nếu một khóa bị xâm phạm.
Ví dụ: nếu bạn có một số máy an toàn vật lý cộng với máy tính xách tay, sẽ có một khóa riêng chung trên tất cả các máy an toàn vật lý này, nhưng một khóa khác trên máy tính xách tay. Bằng cách đó, nếu máy tính xách tay bị đánh cắp, bạn có thể làm mất hiệu lực khóa công khai tương ứng và vẫn có thể đăng nhập từ một trong các máy an toàn vật lý này sang máy khác.
Đối với ssh, một cặp khóa (công khai + riêng tư) đại diện cho một danh tính duy nhất. Bạn giữ khóa riêng được bảo vệ của mình trên các máy bạn tin tưởng và có thể bảo vệ. Bạn đặt thông tin khóa công khai của mình lên các máy bạn muốn có thể truy cập từ xa thông qua xác thực khóa.
Bạn không nên đặt khóa riêng của mình vào các máy bạn không tin tưởng - vì vậy chỉ cần sao chép .ssh / xung quanh có thể gặp rủi ro.
Trên các máy bạn muốn kết nối, bạn đặt một bản sao khóa công khai của bạn vào một tệp cụ thể (thường là .ssh / ủy quyền) cho phép xác thực diễn ra. Vì vậy, về mặt kỹ thuật, bạn không sao chép khóa ở bất cứ đâu, bạn chỉ sao chép nội dung của khóa công khai sang một tệp khác.
Giả sử bạn có một máy bạn tin tưởng và 12 máy bạn muốn kết nối, bạn sẽ đặt thông tin khóa công khai của mình vào tệp .ssh / ủy quyền trên 12 máy.
Sau này, bạn có thể có một máy khác mà bạn hoàn toàn tin tưởng. Đó hoàn toàn là lựa chọn của bạn cho dù bạn tạo cặp khóa công khai / riêng mới cho máy đó và sao chép khóa chung vào các tệp 12 .ssh / ủy quyền hoặc cho dù bạn sao chép khóa riêng của mình vào máy mới (lúc đó bạn không làm gì cả với 12 máy khác). Nó phụ thuộc vào mức độ bạn tin tưởng các máy khác nhau trong câu hỏi.
Tôi cố gắng có ít cặp khóa nhất có ý nghĩa đối với bảo mật mà bạn đang cố gắng đạt được.
Tiền đề cơ bản của bạn là chính xác, cặp khóa có liên quan đến bạn nhiều hơn so với tài khoản (nghĩa là bạn có thể đặt cùng một khóa công khai vào 3 tài khoản trên một máy chủ và sau đó ssh cho bất kỳ ai trong số chúng từ máy của bạn, chỉ với một khóa riêng).
Keypare của tôi có liên quan nhiều hơn đến tôi (với tư cách là con người) hay tài khoản người dùng của tôi trên máy cục bộ?
Các khóa có liên quan đến bất kỳ tài khoản người dùng nào bạn chọn để cài đặt chúng.
Bạn có cùng một khóa trên tất cả các máy tính bạn sử dụng không? Hoặc những cái khác nhau cho mỗi máy?
Bạn có thể tạo nhiều phím cho mỗi máy hoặc sử dụng cùng một phím ở mọi nơi; điều đó phụ thuộc vào bạn. Mà một trong những làm cho ít để không có sự khác biệt.