複数のシステムで同じSSHキーペアを使用する良い方法は何ですか?

tag-icon tag-icon ssh security
複数のシステムで同じSSHキーペアを使用する良い方法は何ですか?

最近、新しい仕事用ノートパソコンを購入しましたが、以前の仕事用ノートパソコンで使用していたのと同じRSAキーペアを引き続き使用するのが良い習慣になるのではないかと思います。追跡する別のキーペアを作成したくありません。

これは一般的に許容される慣行ですか?鍵ペアにはパスワードがあるため、物理システムが安全である限り、合理的に安全でなければなりません。そうですか?

答え1

ここと他の場所の他の答えでより明確です。 「セキュリティ」は秘密鍵と同じくらい安全です。誰かがあなたの秘密鍵にアクセスできる場合は、電子メールで送信するか、USBデバイスにコピーすることができます。コピーされた秘密鍵は他の人が使用できます。

秘密鍵がセキュリティシステムにある限り、それを複数のコンピュータに転送するのに問題はありません。

しかし、一つだけ言いたいと思います。いいえ秘密鍵をリモートシステムにコピーします。 SSHエージェント(ssh-agentまたはpageant)とエージェント配信を試してください。リモートシステムに秘密鍵がある場合は、システムにアクセスするために使用されるものと異なることを確認してください。

答え2

はい、安全な手にある限り安全です。つまり、物理マシンは安全です。もちろん、攻撃者がアクセス権を取得しているコンピュータにSSHでアクセスできる場合は、そのコンピュータからキーを取得し、別のコンピュータでそのキーを使用する可能性があります。バラよりこれより多くの情報を知りたいです。

答え3

複数のコンピュータで単一のキーを使用すると、システム管理者が処理する必要があるキーの数が確実に減ります。 5つの作業機械があります(通常3つは非常に活発に動作しますが、1つは修理中で、もう1つは時々使用されます)。会社に私のような人が8人がいれば管理する鍵は8個ではなく40個だ。

しかし、Arcegeが(間接的ではあるが)非常に見事に指摘されているように、問題は、機械が損傷しているか短期間失われた場合、コンピュータから(私のキーで)アクセスできなくなることです。すべてのマシン内のすべてのマシンを解体する必要がありました。)もちろん、破損したまたは盗まれたノートブックから単一のキーを削除し、他のコンピュータで作業を続けることができるという便利さは、複数のキーを処理する手間をかける価値があります。

もっと極端な例として、私はシステム管理者ですが、ラップトップが盗まれたりハッキングされたとしましょう。私のキーを削除する必要がありますが、そのためにはすべてのシステムにアクセスする必要があります。 1つのセッションで交換および削除することは技術的に可能ですが、迅速に移動し、すべての基盤をカバーしようとすると、緊急事態をかなり複雑にすることができます。

一方、各ワークステーションに固有のキーがあり、交換ワークステーションを使用できる場合は、ロックの危険なしに破損したキーの問題を迅速かつ効率的に解決できます。

SSH鍵のセキュリティ方法をより深く掘り下げながら、真のセキュリティのためには、両方の方法を使用する必要があることが明らかになりました。

  • 私たちが持っているもの(SSHキー)
  • 私たちが知っているもの(サーバーパスワード)

パスワード要件には、サーバーとキーにアクセスするためのパスワードが含まれます。面倒な要素は増えていますが、この時点では3つ(SSHキー、SSHキーアクセスパスワード、サーバーパスワード)がすべて用意されています。もはや単一の障害点はありません。。サーバーパスワードを共有すると、非常に脆弱なSSHキーパスワードからチームを保護することもできます。 (通常、私たちは同僚によって生成されたパスワードレベルを制御することはできません。企業の状況では、パスワードマネージャを使用してパスワード監査ツールにアクセスできます。)よりよく知る必要がある人は、時々驚くほど弱いパスワードを作成します)。

攻撃者を特定する必要があり、攻撃が成功するには数ヶ月または数年かかることがあります。サーバーのパスワードを変更した場合(サーバーのパスワードは6か月ごとにLastPassなどのエンタープライズクラスのシステムと共有されます。SSHキーもあることを覚えておいてください)、この時点でサーバーは合理的なセキュリティを享受できます。侵入するには)キーを古代のパスワードと組み合わせます。

違法なインサイダーアプローチ(Edward Snowdenが最初に浮上し、Ashley Madisonハッキングが2番目に浮かび上がる)を主なリスクとして考慮する必要があります。鍵とパスワードの両方を使用するだけで、インサイダーの活動が遅くなる可能性があります。

古代中国の方法に加えて:山の中に埋める作業が完了したら。

埋葬後、メカニズムを作り、その宝物を知っている職人がこのような秘密を公開すれば深刻な違反になるという提案がありました。それで、葬儀が終わり、宝物を取り除くと、内部の通路が詰まり、外のドアが下がり、人妻と職人がすぐに閉じ込められました。誰も脱出できません。

答え4

仕事、家、open_source_projectなど、さまざまなグループに異なるキーを使用するのが良い習慣だと言いたいです。

キーを追加すると、管理が複雑になります。

関連情報