Warum empfiehlt Google, aus Sicherheitsgründen SSH-Schlüssel von GCE zu entfernen?

15

Der nachfolgende Verweis auf die Google-Dokumentation ist nicht mehr gültig.

Google empfiehlt, SSH-Schlüssel aus der GCE-Instanz zu entfernen, um SSH zu sichern. Das ergibt für mich keinen Sinn. Die Schlüssel sind für eine Sicherheit da, oder? Wenn ich die Schlüssel entferne, funktioniert SSHD nicht mehr. Ich vermisse wahrscheinlich ihren Standpunkt. Kann mir jemand erklären, was damit gemeint ist:

Entfernen Sie die SSH-Host-Schlüssel

Verwenden Sie für Ihre Instanz keine ssh-Hostschlüssel. Entfernen Sie sie wie folgt:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*
Martin Prikryl
quelle
2
In dem Dokument wird empfohlen, es zu aktivieren StrictHostKeyCheckingund später zu deaktivieren. Ich vermute, es ist kein sehr sorgfältig bearbeitetes Dokument. Mein Rat ist, Ihrem eigenen Urteil zu vertrauen und Host-Schlüssel zu verwenden, es sei denn, es gibt einen guten Grund, dies nicht zu tun.
aecolley
@aecolley Das ist mir auch aufgefallen. Ich habe ihnen ein Feedback gegeben. Mal sehen, ob sie zu mir zurückkommen.
Martin Prikryl
1
Ich habe im Folgenden näher darauf eingegangen, aber es kommt auf den Kontext an - die Seite, auf der Sie sich befinden, gibt Tipps zum Erstellen neuer Images, nicht zum allgemeinen Sichern einer Maschine. Ich werde die Dokumente aktualisieren, um mehr Details darüber zu erfahren, wann und warum Sie Ihre Host-Schlüssel löschen möchten, da die Gründe nicht klar sind.
Benson

Antworten:

12

Entscheidend ist, dass auf der Seite, auf die Sie verwiesen haben, ein neues Compute Engine-Maschinenabbild erstellt wird. Wenn Sie ein neues Image für eine virtuelle Maschine erstellen, möchten Sie insbesondere sicherstellen, dass es KEINE Hostschlüssel enthält. Auf diese Weise erkennt das sshd-Startskript beim Klonen und Wiederherstellen des Images in einer tatsächlichen VM, dass keine Hostschlüssel vorhanden sind, und generiert automatisch neue. Dies ist wünschenswert, da es eine sehr schlechte Idee ist, mehrere Computer mit demselben Hostschlüssel zu haben.

Im Allgemeinen sollten Sie also Ihre Host-Schlüssel nicht löschen. Wenn Sie jedoch ein neues Image erstellen, ist dies ein wichtiger Schritt, um sicherzustellen, dass eine Eins-zu-Eins-Beziehung zwischen Host-Schlüsseln und Computern besteht.

Benson
quelle
1
Vielen Dank. Das macht Sinn. Obwohl eine Erklärung helfen würde. Msgstr "Verwenden Sie keine ssh - Hostschlüssel für Ihre Instanz." ist wirklich eine verwirrende Formulierung.
Martin Prikryl
Ich stimme vollkommen zu - vielen Dank, dass Sie darauf hingewiesen haben. Ich habe tatsächlich ein Update zu den Dokumenten eingereicht, um den Wortlaut zu klären, von dem ich vermute, dass er in Kürze herausgebracht wird.
Benson
1
Die aktualisierten Dokumente sind jetzt live: developers.google.com/compute/docs/images#removesshkeys
Benson
13

Der einzige mögliche Grund, den ich mir vorstellen kann, ist, dass Sie gezwungen werden sollen, neue Schlüssel zu generieren.
Da diese Schlüssel generiert wurden, bevor Sie Zugriff hatten, sind sie möglicherweise nicht vertrauenswürdig.
Wenn Sie sie entfernen und neu starten, sshdwerden die Schlüssel für Sie neu generiert.
Das Dokument macht das jedoch nicht wirklich klar.

Dies ist reine Spekulation, und es ist besser, sie zu kontaktieren und sich diesbezüglich Klarheit zu verschaffen.

Schwindler
quelle
4
Vielen Dank für Ihre Antwort. Ich muss zum Bediener ssh, um das wiederzubeginnen sshd. Aber um eine Verbindung herzustellen, muss ich den Host-Schlüssel des "nicht vertrauenswürdigen" Servers akzeptieren. Alles, was ich während dieser Sitzung tue, kann nicht als vertrauenswürdig eingestuft werden. Auch der Neustart des sshd. Richtig?
Martin Prikryl
1
Ich schätze, die Hauptsorge wäre, dass aus irgendeinem Grund ein anderer Kunde die gleichen Schlüssel wie Sie erhält (Hinweis: Dadurch können sie nicht auf Ihre Instanz zugreifen, aber Sie können leichter von Man-in-the-Middle angegriffen werden). Wenn Sie dem Bildanbieter nicht vertrauen, sollten Sie dort nichts ausführen (er hat praktisch physischen Zugriff).
Fälscher
1
Im IIRC wurden Untersuchungen durchgeführt , die zeigen, dass die Entropiequalität in einigen Systemen, insbesondere in eingebetteten Systemen, aber auch in einigen Kategorien von neu gestarteten virtuellen Maschinen nicht sehr hoch ist. Wenn beim ersten Start öffentliche Schlüssel generiert werden, z. B. die SSH-Hostschlüssel, sind diese möglicherweise vorhersehbar.
HBruijn
@HBruijn Danke für den Kommentar. Wenn Sie sie jedoch löschen und sshd sie beim Neustart neu erstellen lässt, werden sie nicht besser. Sie müssten Ihre eigenen hochladen. Aber das wird im Dokument nicht behandelt.
Martin Prikryl
1
Ich habe ein Feedback an Google gesendet. Mal sehen, ob sie zu mir zurückkommen.
Martin Prikryl